防SQL注入研究与平台应用方案

防SQL注入研究与平台应用方案
一、解决SQL注入的常见方案
1.1 对SQL参数进行检测与转义
      检测的具体内容如下：
      1.1.1SQL参数的长度、类型、范围的检测，如参数是否为数值，时间参数是否在一个时间区间之内、字串参数长度是否小于8等，根据具体业务规则定义。
      1.1.2SQL参数中特殊字符、SQL关键字的检测，如单引号{‘}，分号{；}，注释符{--}，select，update，insert等。
      1.1.3SQL参数16进制的检测，如hex(0xff0033ee..)给数据库可能解释为drop table…的情况，应该检测这种情况并制止。
1.2使用JDBC中的PrepareStatement
      如select * from A where name=?
      Mybatis对编写方式进行的封装如下：
      Select * from A where name=#{name}
      Hibernate对编写方式进行的封装如下:
      Select * from A where name=:name
      但底层都是用PrepareStatement实现的。

二、防SQL注入在平台中的应用
2.1 网上有一种通过filter过滤器的简单方案，在过滤器的doFilter方法中得到request对象的每一个parameter，检测parameter是否有SQL注入的可能，有则禁止访问。但有些业务程序必须要支持输入特殊字符、select等，因此这种方案在平台不合适。

2.2 平台中一般业务程序的保存、更新、删除、查询等操作是封装在Table.java中的，可以将这部分SQL的拼接尝试修改为PrepareStatement方式

2.3 平台中对参数的检测可以分为前台检测与后台检测，前台检测可以写在前台代理ServiceAgent中，后台检测可以写在ModifyBusiness.java文件中，前台检测可以减少后台服务器的压力，后台检测可以减少数据库服务器的压力。

要实现这些检测，可能需要在xml的Field定义中添加如defendSQL=”true”之类的属性，因为有些业务程序必须要支持特殊字符。

2.4 关于地址栏直接加参数与Ajax请求Tools.getResult()，需要开发人员自行检测与使用PrepareStatement。