何为sql注入
@RestController
public class Controller {
@Autowired
SqlInject sqlInject;
@RequestMapping("/user/{userId}")
public void courseList(@PathVarable ("userId") String studentId){
List<Course> orders = sqlInject.deleteById(studentId);
}
}
@Service
public class SqlInject {
@Autowired
private JdbcTemplate jdbcTemplate;
public void deleteById(String studentId){
String sql = "delete from user where student_id = "+ studentId;
jdbcTemplate.update(sql,new BeanPropertyRowMapper(User.class));
}
}
- 正常情况下删除一个学生只需要传入student_id,便可以查到相关数据。
如删除id为4的学生: localhost:8080//user/4
执行的sql
delete user where student_id = 4
- 如果我们想要删除这张表的所有数据,只需要保证上面这个sql的where条件恒真就可以了。
如: localhost:8080//user/4 or 1=1
执行的sql
delete user where student_id = 4 or 1=1;
sql注入可以获取数据配置,除此之外,还可以完成很多操作,更新数据、删库、删表等等。
如何防止sql注入
一. 代码层防止sql注入攻击的最佳方案就是sql预编译
String sql = "delete from user where student_id = ?";
这样我们传进来的参数 4 or 1 = 1就会被当作是一个student_id,所以就不会出现sql注入了。
一条sql语句的执行需要经过语义解析,制定执行计划,执行并返回结果。
而预编译的sql在执行sql的时候则直接进行执行计划,不会在进行语义解析,也就是DB不会在进行编译,而是直接执行编译过的sql。
这种方式能防范SQL注入的原理是在SQL参数未注入之前,提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。也就是说其后注入进来的参数系统将不会认为它会是一条SQL语句,而默认其是一条一个参数。
二. 确认每种数据的类型,比如是数字,数据库则必须使用int类型来存储
三. 规定数据长度,能在一定程度上防止sql注入
四. 严格限制数据库权限,能最大程度减少sql注入的危害
五. 避免直接响应一些sql异常信息,sql发生异常后,自定义异常进行响应
六. 过滤参数中含有的一些数据库关键词