防禦SQL注入的方法總結

這篇文章主要講解了防禦SQL注入的方法，介紹了什麼是注入，注入的原因是什麼，以及如何防禦,需要的朋友可以參考下。

SQL注入是一類危害極大的攻擊形式。雖然危害很大，但是防禦卻遠遠沒有XSS那麼困難。

SQL注入可以參考：http://www.php.cn/

SQL注入漏洞存在的原因，就是拼接 SQL 參數。也就是將用於輸入的查詢參數，直接拼接在 SQL 語句中，導致了SQL 注入漏洞。

1.示範下經典的SQL注入

我們看到：select id,no from user where id=2; ： String sql = "select id,no from user where id=" + id;

其中的id 是一個用戶輸入的參數，那麼，如果用戶輸入的是2，那麼上面看到查到了一條數據，如果用戶輸入的是2 or 1=1 進行sql注入攻擊。

那麼看到，上面的語句(select id,no from user where id=2 or 1=1;)將user表中的所有記錄都查出來了。

這就是典型的sql注入。

再看一列：

我們看到透過 sql 注入能夠直接刪除表格 sqlinject 掉！可見其危害！

2.sql注入的原因

sql注入的原因，表面上說是因為拼接字串，構成sql語句，沒有使用sql語句預編譯，綁定變數造成的。

但是更深層的原因是將使用者輸入的字串，當成了「sql語句」來執行。

上面的String sql = "select id,no from user where id=" + id;

我們希望使用者輸入的id的值，只作為一個字面值，傳入資料庫執行，但是當輸入了：2 or 1=1 時，其中的or 1=1 並沒有作為where id= 的字面值，而是作為了sql語句來執行的。所以其本質是將使用者的輸入的數據，作為了命令來執行。

3. sql注入的防禦

1> 基本上大家都知道採用sql語句預先編譯和綁定變量，是防禦sql注入的最佳方法。但是其中的深層原因就不見得都理解了。

String sql = "select id, no from user where id=?";

PreparedStatement ps = conn.prepareStatement();

ps.executeQuery();

如上圖所示，就是典型的採用sql語句預先編譯與綁定變數。為什麼這樣就可以防止sql 注入呢？

原因是：採用了PreparedStatement，就會將sql語句："select id, no from user where id=?" 預先編譯好，也就是SQL引擎會預先進行語法分析，產生語法樹，生成執行計劃，也就是說，後面你輸入的參數，無論你輸入的是什麼，都不會影響該sql語句的語法結構了，因為語法分析已經完成了，而語法分析主要是分析sql指令，例如select ,from , where ,and, or ,order by 等等。所以即使你後面輸入了這些sql指令，也不會被當成sql指令來執行了，因為這些sql指令的執行，必須先得透過語法分析，產生執行計劃，既然語法分析已經完成，已經預編譯過了，那麼後面輸入的參數，是絕對不可能作為sql指令來執行的，只會被當作字串字面值參數。所以sql語句預編譯可以防禦sql注入。

2> 但不是所有場景都能夠採用sql語句預編譯，有一些場景必須的採用字串拼接的方式，此時，我們嚴格檢查參數的資料類型，還有可以使用一些安全函數，來方式sql注入。

在接收到使用者輸入的參數時，我們以嚴格檢查 id，只能是int型。複雜情況可以使用正規表示式來判斷。這樣也是可以防止sql注入的。

安全函數的使用，例如：

MySQLCodec codec = new MySQLCodec(Mode.STANDARD);

String sql = "select id,no from user where name=" + name;

ESAPI.encoder().encodeForSQL(codec, name)

此函數會將name 中所包含的一些特殊字元進行編碼，以免將sql 引擎當成sql指令來進行語法分析了。

註