使用ORM框架是否一定能完全避免SQL注入?

P粉602998670

P粉602998670

发布时间:2026-07-16 14:08:19

|

347人浏览过

|

来源于php中文网

原创

ORM本身不自动防注入,仅标准查询方法(如filter、where)默认参数化;raw()、text()、${}等原生接口及动态字段名(如filter(**{field: value}))会绕过防护,表名、排序字段等结构部分须白名单校验。

使用orm框架是否一定能完全避免sql注入?

不能。ORM框架本身不自动防注入,它只在你严格按安全方式使用时才起作用;一旦调用 raw()text()DB::raw() 或误用 ${},参数化机制立即失效。

哪些 ORM 接口会直接绕过参数化

主流 ORM 的标准查询方法(如 filter()where()find())默认走预编译 + 参数绑定,天然防注入。但以下接口完全跳过 ORM 查询编译器,等同于直连数据库驱动:

  • raw()(Django)、text()(SQLAlchemy)、DB::raw()(Laravel)、${}(MyBatis XML)——只要 SQL 字符串里有用户输入拼接,就失效
  • extra()(Django)和 annotate() 中混用 RawSQL 或字符串模板(如 template="%(function)s(, %(decimals)s)"),decimals 若为恶意字符串,会直接进 SQL
  • cursor.execute()(原生 DB-API 调用)未用占位符,而是用 f"SELECT * FROM {table}" 拼表名

为什么表名、字段名、ORDER BY 无法参数化

数据库协议只允许「值」参与参数化(即 WHERE name = ?INSERT INTO VALUES (?)),而「结构」部分(表名、列名、ORDER BYGROUP BYLIMIT offset)在 SQL 解析阶段就必须确定,驱动层根本不支持运行时替换。

  • ORDER BY {user_input} 即使其他所有参数都安全,整条语句仍可被劫持
  • SELECT * FROM {table_name} 无法靠 params= 补救,必须白名单校验或配置映射
  • 典型错误:把 request.GET.get("sort") 直接传给 order_by(),却没做 if sort not in ["created_at", "score"]: 拦截

动态字段名(如 filter(**{field: value}))为何危险

Django 的 filter() 支持字典解包,但键(field)不会被转义或校验。攻击者可传入:

防SQL注入的php类库
防SQL注入的php类库

防SQL注入的php类库

下载
  • __class____dict__ 等模型元属性,触发非预期行为
  • id__in 后接子查询字符串(如 "id__in=(SELECT password FROM auth_user)"),若后端解析宽松可能执行
  • 任意嵌套字段路径(如 profile__user__is_staff),若字段未定义或权限未控,可能暴露数据或引发异常

安全做法不是禁用字典解包,而是先白名单过滤 field,例如:if field not in ["title", "author__name", "status"]: 再构造 {field: value}

真正难的从来不是拼 SQL,而是搞清“谁能在什么条件下看到什么数据”。ORM 帮你挡住了最野的攻击,但业务规则得自己守;最容易被忽略的,是那些不落在 WHERE 里的注入点——比如 jsonb_path_query 的路径参数、extra(tables=["user"]) 引入的额外表、甚至 model._meta.db_table 拼接的日志表名。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

WorkBuddy
WorkBuddy

腾讯云推出的AI原生桌面智能体工作台

通义千问
通义千问

阿里巴巴推出的全能AI助手

Claude
Claude

Anthropic发布的与ChatGPT竞争的聊天机器人

Cursor
Cursor

一个新的IDE,使用AI来帮助您重构、理解、调试和编写代码。

Hermes Agent
Hermes Agent

一位与您共同成长的Agent

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
数据分析工具有哪些
数据分析工具有哪些

数据分析工具有Excel、SQL、Python、R、Tableau、Power BI、SAS、SPSS和MATLAB等。详细介绍:1、Excel,具有强大的计算和数据处理功能;2、SQL,可以进行数据查询、过滤、排序、聚合等操作;3、Python,拥有丰富的数据分析库;4、R,拥有丰富的统计分析库和图形库;5、Tableau,提供了直观易用的用户界面等等。

2376

2023.10.12

SQL中distinct的用法
SQL中distinct的用法

SQL中distinct的语法是“SELECT DISTINCT column1, column2,...,FROM table_name;”。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

426

2023.10.27

SQL中months_between使用方法
SQL中months_between使用方法

在SQL中,MONTHS_BETWEEN 是一个常见的函数,用于计算两个日期之间的月份差。想了解更多SQL的相关内容,可以阅读本专题下面的文章。

603

2024.02.23

SQL出现5120错误解决方法
SQL出现5120错误解决方法

SQL Server错误5120是由于没有足够的权限来访问或操作指定的数据库或文件引起的。想了解更多sql错误的相关内容,可以阅读本专题下面的文章。

3879

2024.03.06

sql procedure语法错误解决方法
sql procedure语法错误解决方法

sql procedure语法错误解决办法:1、仔细检查错误消息;2、检查语法规则;3、检查括号和引号;4、检查变量和参数;5、检查关键字和函数;6、逐步调试;7、参考文档和示例。想了解更多语法错误的相关内容,可以阅读本专题下面的文章。

1278

2024.03.06

oracle数据库运行sql方法
oracle数据库运行sql方法

运行sql步骤包括:打开sql plus工具并连接到数据库。在提示符下输入sql语句。按enter键运行该语句。查看结果,错误消息或退出sql plus。想了解更多oracle数据库的相关内容,可以阅读本专题下面的文章。

3456

2024.04.07

sql中where的含义
sql中where的含义

sql中where子句用于从表中过滤数据,它基于指定条件选择特定的行。想了解更多where的相关内容,可以阅读本专题下面的文章。

3364

2024.04.29

sql中删除表的语句是什么
sql中删除表的语句是什么

sql中用于删除表的语句是drop table。语法为drop table table_name;该语句将永久删除指定表的表和数据。想了解更多sql的相关内容,可以阅读本专题下面的文章。

616

2024.04.29

搜狐简单AI文案写作与运营办公教程
搜狐简单AI文案写作与运营办公教程

本专题整理搜狐简单AI文案写作功能,覆盖营销文案、小红书笔记、公众号文章、短视频脚本、商品文案、活动文案和办公写作场景。

10

2026.07.15

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
ThinkPHP8.0完全开发手册
ThinkPHP8.0完全开发手册

共0课时 | 0人学习

ThinkPHP6.x API接口--十天技能课堂
ThinkPHP6.x API接口--十天技能课堂

共14课时 | 1.4万人学习

ThinkPHP开发大型商城项目实战视频
ThinkPHP开发大型商城项目实战视频

共54课时 | 22.3万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号