SQL注入和XSS有何区别？

提起Web安全，很多人脑子里就是一笔糊涂账。前两天有个刚入行的小朋友问我："大哥，SQL注入和XSS到底啥区别？听着不都是往网页里塞代码吗？"这话问得挺典型，看着像是一回事，其实这两兄弟完全不是一路人，一个是来偷你家保险柜的，一个是假装成你家人混进家门骗钱的。要真分不清这两个，出了事儿连锅该谁背都搞不明白。

核心目标的差异：要钱还是要命

咱们先别扯那些晦涩的技术名词，直接看他们到底想干啥。

SQL注入，说白了就是冲着你的数据库去的。这帮人的目标非常明确，就是要把你后台数据库里的东西掏出来，或者删库跑路。想象一下，你家有个仓库（数据库），门口站了个保安（应用程序），正常情况下，你要啥保安给你拿啥。SQL注入就是有人冒充你，给保安递了张条子，上面写着"把仓库里所有的金条都给我"，保安没看清就照办了。

而XSS（跨站脚本攻击）呢？它根本不在乎你数据库里有啥，它盯上的是你的浏览器。攻击者往你的网页里塞了一段恶意脚本，当别的用户打开这个网页时，这段脚本就在用户的浏览器里跑起来了。这就好比有人在你家门口贴了张小广告，虽然没进你家门，但每个路过的人看到广告都会被忽悠去办卡。

攻击路径：后门还是前门

这俩货的作案手法也不一样。

SQL注入属于"欺骗服务器"。攻击者在输入框里输入一段精心构造的代码，比如原本的查询语句是SELECT * FROM users WHERE id = 1，他给你改成SELECT * FROM users WHERE id = 1 OR 1=1。服务器一看，哟，条件永远为真，那就把所有数据都交出来吧。这种攻击直接打在服务端，受害者是网站自己。

XSS则是"欺骗用户"。攻击者利用网站的漏洞，把恶意脚本"反射"或者"存储"在网页上。比如在评论区发个帖，内容不是正常文字，而是一段<script>标签。当其他用户浏览这条评论时，这段代码就在他们的浏览器里执行了，Cookie可能就被偷走了。这种攻击打在客户端，受害者是每一个访问网站的无辜群众。

防御逻辑：堵漏洞还是过滤水

既然原理不同，防起来的路数自然也不一样。

防SQL注入，核心就一句话：别把用户输入当命令。最管用的招数是"参数化查询"，不管用户输入啥，我都把它当成一个纯粹的数据值，而不是SQL命令的一部分。就像你不管递给保安什么条子，保安都只看条子上有没有你的签名，而不去管条子上写的啥内容。

防XSS，关键在于：别把用户输入当网页。用户提交的内容，在展示给其他人看之前，必须进行HTML转义。把那些<、>、&之类的特殊符号转换成HTML实体，让浏览器知道这玩意儿是文本，不是代码。就像你收到一张写着"我是秦始皇打钱"的小广告，你得把它当成笑话看，而不是真去转账。

搞混了的后果

有些开发同学觉得反正是做过滤，我就写个万能的"脏字过滤"函数，把select、script这些词全屏蔽了不就完了？

这种"一刀切"的做法往往是灾难性的。你可能防住了SQL注入，但用户想发个正常的帖子说"我写了个select语句"却被拦截了；或者你防住了XSS，结果数据库里存了一堆乱码。不懂原理瞎防御，最后往往是防了个寂寞，还把用户体验给毁了。

分清这两者的区别，才能对症下药。毕竟，你不能为了防小偷，把自家窗户全焊死，结果发现连光都透不进来。