sql防注入步骤:
1.
什么是SQL注入?我理解的sql注入就是一些人可以通过恶意的参数输入,让后台执行这段SQL,然后达到获取数据或者破坏数据库的目的!举个简单的查询例子,后台sql是拼接的:select * from test where name='+参数传递+';前台JSP页面要求输入name,那么黑客可以输入: ';DROP TABLESPACE TEST INCLUDING CONTENTS AND DATAFILES;-- 不要小瞧这一段SQL代码:
select * from test where name=' ';DROP TABLESPACE TEST INCLUDING CONTENTS AND DATAFILES;--’;在PL/SQL中是正确的,可执行的,但是执行后整个表空间都删除了,网站崩溃!
2.最简单最容易的是限制用户输入。简单点的就是不允许用户输入单引号 和 --,因为单引号号--在SQL中都是影响执行的,两种方式一种是在JSP中加判断:
3.另一种是在SQL拼接是对单引号和--等进行转义,str = str.replace("'", "''");
4.以上的方法都是为了防注入而不让用户输入,是一种比较被动的方法,有很大的缺陷,最常见的就是用户获取到URL,修改URL中的参数然后达到SQL注入的目的。例如:procTypeId=DCWORK_EDOC_SEND 可以改为procTypeId=DCWORK_EDOC_SEND'--
5.最好的办法就是不写拼接SQL,改用参数化SQL。我用的是ORACLE数据库,只介绍一下ORACLE数据库的写法
6.SQL参数都用?替换,然后创建两个数组,存放参数类型和参数值,执行查询的时候,将sql、参数类型数组、参数值三个参数传过去,执行查询。
7.改为参数化SQL后再输入单引号进行查询,单引号就被当作参数,而不是特殊字符,执行不会报错:
转载地址:http://jingyan.baidu.com/article/642c9d34ee73d6644b46f766.html