什么叫sql注入，如何防止sql注入

一、什么叫sql注入

         SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

      举例说明  

       某个网站的登录验证的SQL查询代码为：

1	strSQL =  "SELECT * FROM users WHERE (name = '"  + userName +  "') and (pw = '" +  passWord  + "');"

恶意填入

1	userName =  "1' OR '1'='1" ;

与

1	passWord  =  "1' OR '1'='1" ;

时，将导致原本的SQL字符串被填为

1	strSQL =  "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"

也就是实际上运行的SQL命令会变成下面这样的

1	strSQL =  "SELECT * FROM users;"

因此达到无账号密码，亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏。

 

二、如何防止sql注入

1、 开发者可以采用带参方式访问SQL语句访问数据库，在Java中即采用PreparedStatement的方式访问数据库。

2、 如果开发者一定要使用SQL拼凑的方式访问数据，对字符串要检查并过滤单引号【’】,对于可能为整形或者浮点类型参数，要先转整形，或者浮点，再进行拼凑。

//安全的代码实例

//JDBC参数

publicint stopFwxmglbStateByServiceId(String serviceId) {

    try {

       String sql = "update sjzx_fwxmglb t set t.state = 0 where t.service_id = ? and t.delete_state = 0";

       Object[] args = { Long.valueOf(serviceId) };

       jdbcTemplate.queryForLong(sql, args);

       return 1;

    } catch (RuntimeException e) {

       return 0;

    }

}

 

//HQL参数

publicint startOrStopRelate(Long objectid,String state){

    String sql = "update SjzxFwxmglb set state=:state where objectid=:id";

    Query query = createQuery(sql).setParameter("state",state).setParameter("id",objectid);

    return query.executeUpdate();

}