参考:https://www.cnblogs.com/zhixie/p/13488704.html
如何防止sql注入
1. 代码层防止sql注入攻击的最佳方案就是sql预编译 参数化传入的SQL参数
public List<Course> orderList(String studentId){
String sql = "select id,course_id,student_id,status from course where student_id = ?";
return jdbcTemplate.query(sql,new Object[]{studentId},new BeanPropertyRowMapper(Course.class));
}
这样我们传进来的参数 4 or 1 = 1
就会被当作是一个student_id
,所以就不会出现sql注入了。
使用PrepareStatement
String sql= "select * from users where username=? and password=?;
PreparedStatement preState = conn.prepareStatement(sql);
preState.setString(1, userName);
preState.setString(2, password);
ResultSet rs = preState.executeQuery();
2. 确认每种数据的类型,比如是数字,数据库则必须使用int类型来存储(数据类型确认)
3. 规定数据长度,能在一定程度上防止sql注入
4. 严格限制数据库权限,能最大程度减少sql注入的危害(权限校验)
5. 避免直接响应一些sql异常信息,sql发生异常后,自定义异常进行响应
6. 过滤参数中含有的一些数据库关键词(过滤关键词)
7、对于mysql 的 like 而言,一般都要用 like concat() 组合,可以防止sql注入
select * from t_user where name like concat('%', #{name}, '%')
mybatis 使用#{ } 而不是${ } #{ } 是经过预编译的,是安全的,而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在sql注入.
hibernate 按参数名称绑定query.setString(“customername”,name); 、 按参数位置绑定query.setString(0,name); 、setParameter()方法