如何解决SQL注入?

面试中经常问到,SQL注入是什么?又怎么防止SQL注入?为了不再尴尬得只回答出使用PreparedStatement,我们还是有必要了解一下其他的方式。

一、什么是SQL注入?

说简单点,就是部分用户在表单中输入sql语句的片段,对没有输入检验的网站可能带来毁灭性的打击,轻则绕过登录,重则删库、泄露数据。

二、一个简单的SQL注入实例

假设某个网站没有输入参数检验,并且后台的sql语句为

 String sql = "select * from user where username='" + username + "' and password='" + password + "'";

那么如果我在表单中输入的用户名为

String username="' or 1=1 --";

并且任意输入一个密码后,会发生什么呢?组合后的sql语句为

String afterSql="select * from user where username='' or 1=1 -- and password='123'";

where中的子句username='' or 1=1永远为真,是因为使用了--,将后面的密码判断给注释了。这样子我可以绕过登录,去做一些危害网站的事情,比如删库。即使用下面的注入

String deleteDB="select * from user where username='';drop table user -- and password='123'";

可见,如果一个网站不对输入的参数进行检验的话,很可能会威胁到网站自身的安全。

三、怎么防范sql注入?

sql注入只会发生在sql编译的过程中,那么避免非法sql语句被编译,就是我们要做的事情。

【1】在JDBC中,使用Statement的子类PreparedStatement,这也是我们最先想到的方法

事先将sql语句传入PreparedStatement中,等会要传入的参数使用?代替,那么该sql语句会进行预编译,之后将前台获取的参数通过set方式传入编译后的sql语句中,那么此时被注入的sql语句无法得到编译,从而避免了sql注入的问题。而且使用PreparedStatement在一定程度上有助于数据库执行性能的提升。

 PreparedStatement preparedStatement = connection.prepareStatement(sql);
 preparedStatement.setString(1, username);
 preparedStatement.setString(2, password);

 

【2】Mybatis中尽量使用#{}而不是${},下面给出一个典型的查询写法

<select id="findByUserId" parameterType="edu.usts.sddb.entity.User"
            resultType="edu.usts.sddb.entity.User">
		select * from t_user where us_id=#{us_id}
</select>

#{}就像是JDBC中的?,mybatis通过使用#{}的方式,代表该语句在执行之前会经过预编译的过程,后来传入的参数通过占位符的方式填入到已经编译完的语句中。但使用${}的参数会直接参与编译,不能避免sql注入。如果需求中非要使用到${}的话,只能手动过滤了。

 

【3】手动过滤参数

声明一个危险参数数组danger,将前台传入的参数用“ ”分隔后,产生的参数数组与danger有交集时,终止该sql的执行,并反馈前台,提示禁止输入非法字符。