从搜索词中过滤表

从搜索词中过滤表通常是指在用户输入的搜索词中识别并排除掉与数据库表名相关的部分，以避免潜在的安全风险，如SQL注入攻击。以下是关于这个问题的详细解答：

基础概念

过滤表是指在处理用户输入的搜索词时，识别并排除掉可能包含的数据库表名或其他敏感信息。这主要是为了防止恶意用户通过输入特定的搜索词来执行未经授权的数据库操作。

类型

白名单过滤：只允许特定的表名通过。
黑名单过滤：排除已知的危险表名或关键字。
正则表达式过滤：使用正则表达式匹配并排除不符合规则的表名。

应用场景

Web应用程序：用户输入搜索条件时，防止恶意输入影响数据库操作。
API接口：对外提供的API接口中，确保接收到的参数不会导致数据库安全问题。
内部管理系统：管理员操作时，防止误操作或恶意篡改数据库表结构。

可能遇到的问题及原因

问题：用户输入的搜索词中包含非法表名，导致SQL注入攻击。原因：

用户输入未经充分验证和过滤。
后端代码直接拼接用户输入到SQL查询语句中。
缺乏有效的安全防护措施。

解决方法

前端验证

在前端通过JavaScript进行初步过滤：

function filterTableName(input) {
    const forbiddenWords = ['users', 'admin', 'database']; // 示例黑名单
    const regex = new RegExp(forbiddenWords.join('|'), 'i');
    return input.replace(regex, '');
}

const userInput = document.getElementById('searchInput').value;
const safeInput = filterTableName(userInput);

后端验证

在后端使用参数化查询或ORM框架来防止SQL注入：

import re
from flask import Flask, request
from sqlalchemy import create_engine, text

app = Flask(__name__)
engine = create_engine('sqlite:///example.db')

@app.route('/search', methods=['GET'])
def search():
    user_input = request.args.get('query')
    
    # 过滤非法表名
    forbidden_words = ['users', 'admin', 'database']
    regex = re.compile('|'.join(forbidden_words), re.IGNORECASE)
    safe_input = regex.sub('', user_input)
    
    with engine.connect() as conn:
        result = conn.execute(text(f"SELECT * FROM safe_table WHERE column LIKE :input"), {"input": f"%{safe_input}%"})
        return {'results': [row for row in result]}

if __name__ == '__main__':
    app.run(debug=True)