SQL注入
漏洞原因
SQL注入漏洞,根本原因是把外部输入当作SQL代码去执行。
一个SQL语句由代码和数据两部分组成:
SELECT id FROM userTab WHERE name = 'xiaoming' and passwd='123456';
"SELECT id FROM userTab WHERE name ="和"and passwd=" 是代码
'xiaoming'和'123456'是数据。
如果是将外部输入拼接到SQL语句,且没有做充分过滤的话,就会产生SQL注入漏洞。
例如上面SQL中的name外部输入值是 xiaoming’ or ‘1’='1,就会绕过密码校验,直接登录成功了。
SELECT id FROM userTab WHERE name = 'xiaoming' or '1'='1' and passwd='123456';
预编译
目前预编译是SQL注入的最佳解决方案。
SQL语句的执行步骤:
-
代码语义分析
-
制定执行计划
-
获得返回结果
预编译就是用占位符代替SQL语句中的数据,预先进行编译(语义分析、制定执行计划)。
当执行编译后的SQL指令时,外部输入被作为数据处理,不可能再改变SQL的处理逻辑。
现在开发中常用的ORM框架:Mybatis和Hibernate等就使用了预编译。
参考资料
- https://mp.weixin.qq.com/s/mP49OCkwqSnamtop0cChdQ