防止SQL注入解决方案

 防止SQL注入解决方案

在人员开发培训要最好玉先这样实施安全流程，可最大可能的减小这方面的问题……

STEP1：在设计方案上，采用参数化查询，如如下为JAVA为例：

String sql = "update  carinf set level_id=? where id=?";

PreparedStatement ps = con.prepareStatement(sql);

ps.setString(1, newids);

ps.setInt(2, selectid);

尽量不使用拼接SQL的形式……。

若是必须采用拼接SQL时，若是参数为字串，须要进行转义，转义字符根据数据库的不一样而有所差异……能够打开数据库驱动源码，能够看到所有的转义字符……若是参数为数字，则简单的判断下类型就能够了

if(!check.isNumeric(id))

throw new RuntimeException(" Id is not int ");

 

ps = conn.prepareStatement("select * from region where id = ‘"+ id+”’”);

rs = ps.executeQuery();

通常状况下，为了提升开发速度，只对用户URL作这样的设计，管理员使用的页面URL能够忽略。

STEP2:注入检测，这里以JAVA程序为例，测试工具为ECLIPSE

用IDE搜索JAVA文件内"update "/"insert "/"delete "、“select ”等SQL关键字…，查看源码是否用了SQL拼接。

STEP3:检测结果纪录表，主要记录如下内容

文件：/ebao/src/com/ebao/dao/CustomerDao.java   

总数：2个

行：Line68   

功能：邮相激活账号

修复结果：fixed

复测结果：ok

STEP4: 根据检测结果作修复，在纪录表上记录修复结果

STEP5:复测，在纪录表上记录复测结果