有办法禁用mysql --注释语法吗？

Question

最近，我不得不调查一次SQL入侵，并注意到--这对攻击者来说是一个很大的帮助。考虑到它在许多web环境中并不是一个非常有用的工具，但是似乎增加了这些漏洞的破坏潜力，为什么不禁用它呢？我找不到办法，所以问题就来了。

Answer 1

不可能禁用SQL注释解析。

正确的解决方案是确保应用程序不允许通过总是转义用户输入，或者更好地使用某种类型的参数化查询，无论是直接通过MySQL服务器API还是通过客户端的用户库。

禁用注释可能会有一点帮助，但是没有它们很容易执行SQL注入，它们只需编写另一个完整查询的开始，而不是注释掉语句的其余部分。

如果由于某种原因这是不实用的，您可以考虑MySQL企业防火墙(这是一个商业产品，而不是开源)，它允许您设置查询白名单：https://www.mysql.com/products/enterprise/firewall.html