防止SQL注入解决方案
在人员开发培训要最好玉先这样实施安全流程,可最大可能的减少这方面的问题……
STEP1:在设计方案上,采用参数化查询,如以下为JAVA为例:
String sql = "update carinf set level_id=? where id=?";
PreparedStatement ps = con.prepareStatement(sql);
ps.setString(1, newids);
ps.setInt(2, selectid);
尽可能不使用拼接SQL的形式……。
如果必须采用拼接SQL时,如果参数为字串,需要进行转义,转义字符根据数据库的不同而有所差别……可以打开数据库驱动源码,可以看到全部的转义字符……如果参数为数字,则简单的判断下类型就可以了
if(!check.isNumeric(id))
throw new RuntimeException(" Id is not int ");
ps = conn.prepareStatement("select * from region where id = ‘"+ id+”’”);
rs = ps.executeQuery();
一般情况下,为了提高开发速度,只对用户URL做这样的设计,管理员使用的页面URL可以忽略。
STEP2:注入检测,这里以JAVA程序为例,测试工具为ECLIPSE
用IDE搜索JAVA文件内"update "/"insert "/"delete "、“select ”等SQL关键字…,查看源码是否用了SQL拼接。
STEP3:检测结果纪录表,主要记录以下内容
文件:/ebao/src/com/ebao/dao/CustomerDao.java
总数:2个
行:Line68
功能:邮相激活帐号
修复结果:fixed
复测结果:ok
STEP4: 根据检测结果做修复,在纪录表上记录修复结果
STEP5:复测,在纪录表上记录复测结果