什么是SQL注入?
定义:以用户或者外部输入动态构造SQL查询的命令,将可能改变SQL查询语句本来的语义,从而导致执行任意的SQL命令,泄露或者篡改SQL数据库的敏感数据。
如何防止SQL注入?
- 输入检验:做好规范的检验工作,比如搜索框不能输入sql语句等
- 权限控制:在创建一个SQL数据库的用户账号时,要遵循最低权限法则。用户应值拥有使用其账户的必要的最低特权。如果系统显示需要用户可以读取和修改自己的数据,那么应该限制其特权,使他们无法读取/编写别人的数据。
- 重复检验:在服务端重复客户端所进行的所有过滤(黑名单校验和白名单校验)
例子:public static void main(String[] args) throws IOException { String regex = "^[0-9\-\. ]+$"; Pattern p = Pattern.compile(regex); for (int i=0; i < args.length; i++) { String num = args[i].trim(); Matcher m = p.matcher(num); if (m.matches()) { dialNumber(num); } else { System.out.println("Not a valid phone number."); } } }
-
动态参数:应使用prepared statements语句绑定变量来执行SQL字符串。没有使用prepared statements语句绑定变量可能很容易受到攻击。
使用严格的白名单型来检查可以用于SOL命令的所有用户输入数据。而不是避开元字符集,完全禁止元字符才是最安全的。原因是:后期对已经被输入数据库的数据进行使用可能将之前使用过的元字符丢弃。应该对request中期望的安全的字符集进行更为精细地定义。 - 密码加密:使用目前网上很火的开源类MD5或者之类的进行密码加密
- 进行预编译、使用占位符传参