为什么会产生SQL注入问题

举一个简单的SQL注入攻击的例子：

假如我们有一个users表，里面有两个字段username和password。在我们的java代码中我们初学者都习惯用sql拼接的方式进行用户验证。
比如：” select id from users where username = ‘”+username +”’ and password = ‘” + password +”’ ” 这里的username和password都是我们存取从web表单获得的数据。

下面我们来看一下一种简单的注入，如果我们在表单中username的输入框中输入 ’ or 1=1# ，password的表单中随便输入一些东西，假如这里输入123.此时我们所要执行的sql语句就变成了 select id from users where username = ” or 1=1# and password = ‘123’，我们来看一下这个sql，因为1=1是true，后面 and password = ‘123’被注释掉了。所以这里完全跳过了sql验证。（在Mysql中#以后代表注释掉后面的语句）

Statement 注入问题

Statement 用于执行不带参数的简单SQL语句，并返回它所生成结果的对象，每次执行SQL语句时，数据库都要编译SQL语句。容易产生SQL注入问题。

java">import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
 
 
class SqlInjection {
    public static void main(String[] args) {
        String driver = "com.sql>mysql.jdbc.Driver";
        // String url =
        // "jdbc:sql>mysql://localhost:3306/students?useUnicode=true&characterEncoding=UTF-8&useJDBCCompliantTimezoneShift=true&useLegacyDatetimeCode=false&serverTimezone=UTC";
        String url = "jdbc:sql>mysql://localhost:3306/students";
        String user = "root";
        String password = "123456";
        Connection con = null;
        Statement statement = null;
        ResultSet resultSet = null;
 
        try {
            Class.forName(driver);
            con = DriverManager.getConnection(url, user, password);
            if (!con.isClosed()) {
                System.out.println("数据库连接成功");
            }
            statement = con.createStatement();
            String name = "zhangsan";
            // String name = "zhangsan' or 'a' = 'a";
            int age = 20;
//模拟 SQL 注入，采用拼接字符串的形式
            String sqlQuery = "select * from student where age=" + age + " and name='" + name + "'";
            resultSet = statement.executeQuery(sqlQuery);
            while (resultSet.next()) {
                System.out.println("id: " + resultSet.getInt("id") + "  name： " + resultSet.getString("name")
                    + "  age: " + resultSet.getInt("age"));
            }
 
        } catch (ClassNotFoundException e) {
            System.out.println("数据库驱动没有安装");
        } catch (SQLException sqlException) {
            System.out.println("数据库连接失败");
        } finally {
            try {
                if (resultSet != null) {
                    resultSet.close();
                }
                if (statement != null) {
                    statement.close();
                }
                if (con != null) {
                    con.close();
                }
            } catch (SQLException e) {
                System.out.println(e.getMessage());
            }
        }
    }
}

解决办法

PreparedStatement

java中预处理PrepareStatement为什么能起到防止SQL注入的作用
其实是因为SQL语句在程序运行前已经进行了预编译，在程序运行时第一次操作数据库之前，SQL语句已经被数据库分析，编译和优化，对应的执行计划也会缓存下来并允许数据库以参数化的形式进行查询，当运行时动态地把参数传给PreprareStatement时，即使参数里有敏感字符如 or ‘1=1’也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令，因此可以避免了类似select * from user where name=‘aa’ and password = ‘bb’ or 1 =1;的SQL注入问题的发生。

java">import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
 
class SqlInjectionPreparedStatement {
    public static void main(String[] args) {
        String driver = "com.sql>mysql.jdbc.Driver";
        String url =
            "jdbc:sql>mysql://localhost:3306/students?useUnicode=true&characterEncoding=UTF-8&useJDBCCompliantTimezoneShift=true&useLegacyDatetimeCode=false&serverTimezone=UTC";
        String user = "root";
        String password = "123456";
        Connection con = null;
        PreparedStatement preparedStatement = null;
        ResultSet resultSet = null;
 
        try {
            Class.forName(driver);
            con = DriverManager.getConnection(url, user, password);
            if (!con.isClosed()) {
                System.out.println("数据库连接成功");
            }
            //对输入内容进行预编译，防止SQL注入
            String sqlQuery = "select * from student where age=? and name=?";
            preparedStatement = con.prepareStatement(sqlQuery);
 
            String name = "zhangsan' or 'a' = 'a";
            int age = 20;
 
            preparedStatement.setInt(1, age);
            preparedStatement.setString(2, name);
            resultSet = preparedStatement.executeQuery();
            while (resultSet.next()) {
                System.out.println("id: " + resultSet.getInt("id") + "  name： " + resultSet.getString("name")
                    + "  age: " + resultSet.getInt("age"));
            }
 
        } catch (ClassNotFoundException e) {
            System.out.println("数据库驱动没有安装");
        } catch (SQLException sqlException) {
            System.out.println("数据库连接失败");
        } finally {
            try {
                if (resultSet != null) {
                    resultSet.close();
                }
                if (preparedStatement != null) {
                    preparedStatement.close();
                }
                if (con != null) {
                    con.close();
                }
            } catch (SQLException e) {
                System.out.println(e.getMessage());
            }
        }
    }
}

SQL 注入检查项

程序员对SQL进行操作的时候拼接了SQL语句并且未过滤参数

检查SQL是否进行了拼接，检查参数是否被过滤

凡是有交互的地方都需要进行检查，都可构建SQL注入语句