【数据库】SQL注入的问题

SQL语句应该考虑哪些安全性

1）防止SQL注入，对特殊字符进行过滤，转义或者使用预编译的SQL语句绑定变量。

2）当SQL语句运行出错时，不要把数据库返回的错误信息全部显示给用户，以防止泄露服务器和数据库的相关信息。

什么叫做SQL注入，如何防止？

举个例子：

后台写的Java代码拼的SQL如下：

public List getInfo(String ename){
        StringBuffer sb = new StringBuffer();
        sb.append("select empno,ename,deptno from emp where ename = '").append(ename).append("'");
        ...
        ...
        ...
}

而前台页面有个输入框如下：
职员姓名：________
该文本域对应上面方法的ename参数。
如果用户在查询时向职员姓名文本域中输入的是如下信息：' or '1' = '1'
那么这时就会涉及到SQL注入的概念了。
上面的字符串传到后台后，与其他select等字符串拼成了如下的语句：

select empno,ename,deptno from emp where ename = " or ' 1 ' = ' 1 '

上面的where条件是永远成立的，如果你的表中有权限设置，比如只能查询本地市的信息，过滤条件中有地市过滤
不过因为输入' or ' 1 ' = ' 1 字符串后，条件永远成立，导致你能看到所有城市的职员信息，那就回产生权限问题了，用户能看到不该看到的信息。同理，如果是insert或者update等语句的话，通过SQL注入会产生不可估量的问题。

这种不安全的情况是在SQL语句在拼接的情况下发生。

解决方法：

1）参数绑定：为了防范这样“SQL注入安全”可以用预编译解决（不要用拼接SQL字符串，可以用prepareStatement，参数用set方法进行填装）。

String sql = "insert into userlogin values(?,?)";
try {
    PreparedStatement ps = conn.prepareStatement(sql);
    for (int i = 1; i < 100; i++) {
        ps.setInt(1, i);
        ps.setInt(2, 8888);
        ps.executeUpdate();
    }
    ps.close();
    conn.close();
} catch (SQLException e) {
    e.printStackTrace();
}

2）检查变量的数据类型和格式

如果你的SQL语句是类似where id = {$id}这种形式，数据库里所有的id都是数字，那么就应该在SQL被执行前，检查确保变量id是int类型；如果是接受邮箱，那就应该检查并严格确保变量一定是邮箱的格式，其他的类型比如日期，时间等也是一个道理。
总结起来：只要是有固定格式的变量，在SQL与极具执行前，应该严格按照固定格式去检查，确保变量是我们预想的格式，这样很大程度上可以避免SQL注入攻击。

比如，我们前面接收username参数例子中，我们的产品设计应该是在用户注册的一开始，就有一个用户名的命名规则，比如5-20个字符，只能由大小写字母、数字以及一些安全的符号组成，不包含特殊字符。此时我们应该有一个check_username的函数来进行统一的检查。不过，仍然有很多例外情况并不能应用到这一准则，比如文章发布系统，评论系统等必须要允许用户提交任意字符串的场景，这样就需要采用过滤等其他方案了。（使用正则表达式进行格式验证！）

3）所有的SQL语句都封装在存储过程中

所有的SQL语句都封装在存储过程中，这样不但可以避免SQL注入，还能提高一些性能。