SQL 注入防御方法总结

SQL 注入是一类危害极大的攻击形式。虽然危害很大，但是防御却远远没有XSS那么困难。

SQL 注入可以参见：https://en.wikipedia.org/wiki/SQL_injection

SQL 注入漏洞存在的原因，就是拼接 SQL 参数。也就是将用于输入的查询参数，直接拼接在 SQL 语句中，导致了SQL 注入漏洞。

1. 演示下经典的SQL注入

我们看到：select id,no from user where id=2;

如果该语句是通过sql字符串拼接得到的，比如： String sql = "select id,no from user where id=" + id;

其中的 id 是一个用户输入的参数，那么，如果用户输入的是 2， 那么上面看到查到了一条数据，如果用户输入的是 2 or 1=1 进行sql注入攻击,

那么看到，上面的语句(select id,no from user where id=2 or 1=1;)将user表中的所有记录都查出来了。

这就是典型的sql注入。

再看一列：

我们看到通过 sql 注入能够直接将表 sqlinject 删除掉！可见其危害！

2. sql 注入的原因

sql注入的原因，表面上说是因为 拼接字符串，构成sql语句，没有使用 sql语句预编译，绑定变量。

但是更深层次的原因是，将用户输入的字符串，当成了 “sql语句” 来执行。

比如上面的 String sql = "select id,no from user where id=" + id;

我们希望用户输入的 id 的值，仅仅作为一个字符串字面值，传入数据库执行，但是当输入了： 2 or 1=1 时，其中的 or 1=1 并没有作为 where id= 的字面值，而是作为了 sql语句 来执行的。所以其本质是将用户的输入的数据，作为了命令来执行。

3. sql注入的防御

1> 基本上大家都知道 采用sql语句预编译和绑定变量，是防御sql注入的最佳方法。但是其中的深层次原因就不见得都理解了。

    String sql = "select id, no from user where id=?";    PreparedStatement ps = conn.prepareStatement(sql);    ps.setInt(1, id);    ps.executeQuery();

海外公司注册、海外银行开户、跨境平台代入驻、VAT、EPR等知识和在线办理：https://www.xlkjsw.com

原标题：SQL 注入防御方法总结

关键词：sql