项目中--遇到类似问题。
一、什么是sql注入?
先举个栗子:用户登录
SELECT * From Table WHERE Name='XX' and Password='YY' and Corp='ZZ'
注入之后:SELECT * From Table WHERE Name='SQL inject' and Password='' and Corp='' or 1=1--'
可以看到注入后可以免密码登录。
相信上面的例子已经可以让你明白sql注入的危害了。下面是概念--(抄袭==)
SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。
而造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。
二、字符串拼接的sql?
上面的sql问题是直接使用了字符串拼接导致的,导致出现了漏洞。
三、preparestatement?
(一)优势?
preparestatement是执行sql查询的api:1、mysql会预先编译好,缓存下来以便下次重复使用;2、可以避免大部分sql注入(欢迎补充)
(二)如何避免sql注入?(贴代码了)
String sql = "SELECT * FROM EMPLOYEE WHERE ID = ?";
Connection conn= null;try{
conn=dataSource.getConnection();
PreparedStatement ps=conn.prepareStatement(sql);
ps.setInt(1, id);
Employee employee= null;
ResultSet rs=ps.executeQuery();if(rs.next()) {
employee= newEmployee(
rs.getInt("ID"),
rs.getString("NAME"),
rs.getInt("AGE")
);
}
rs.close();
ps.close();returnemployee;
}catch(SQLException e) {throw newRuntimeException(e);
}finally{if (conn != null) {try{
conn.close();
}catch (SQLException e) {}
当然,如果使用mybatis,就可以省去这些工作了。
其他问题:
1、对order by之类的,怎么使用preparestatement呢?
解答:结合stringformat使用,先替换掉%s之类的。
参考: