预防sql注入

前言：

这两天作项目的时候发现不少小地方没有注意js或者sql注入，平时登陆都是md5加密，今天忽然发现记录一下。

所谓SQL注入，就是经过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

 

过程：

相似这种很简单的页面 ，可能sql语句写法都以下:

select* form table where title ='活动' 

可是懂点sql的人 ，能够输入' or ''='，

select* form table where title ='' or ''='' 

或者 ' or 1=1-- (后加一个空格)

select* form table where title ='' or 1=1-- ' （注释掉后面的单引号）

加上传入参数默认的两个包裹单引号，sql被解析了成了一个恒等式

因而结果以下，查询出了全部数据

升级：借助异常获取信息

破解表名：

and (select count(*) from 表名)<>0       （不等于0，判断是否正确）

破解列名：

and (select count(列名) from 表名)<>0

返回正确的，那么写的表名或列名就是正确

 

预防：

1.对用户的输入进行 校验，能够经过正则表达式，对单引号和双"-"进行转换，控制数据类型等。

2.不要使用动态拼装sql，能够使用 参数化的sql或者直接使用 存储过程进行数据查询存取

 

        String sql = "select id, no from user where id=?";
        PreparedStatement ps = conn.prepareStatement(sql);
        ps.setInt(1, id);
        ps.executeQuery();

采用sql语句预编译和绑定变量，是防护sql注入的最佳方法  

PreparedStatement，就会将sql语句："select id, no from user where id=?" 预先编译好，也就是SQL引擎会预先进行语法分析，产生语法树，生成执行计划，

也就是说，后面你输入的参数，不管你输入的是什么，都不会影响该sql语句的 语法结构了

3.md5 加密

4.不要使用管理员 权限的数据库链接，为每一个应用使用单独的权限有限的数据库链接。

5. 自定义错误信息对原始错误信息进行包装

6. 辅助检验工具