java项目中如何防止sql注入?
简介
SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令;
实践
项目中如何防止sql注入呢,有以下三点:
- 前端表单进行参数格式控制;
- 后台进行参数格式化,过滤所有涉及sql的非法字符;
//参考:https://freeman983.iteye.com/blog/1153989
//过滤 '
//ORACLE 注解 -- /**/
//关键字过滤 update,delete
static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"
+ "(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";
static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);//表示忽略大小写
/***************************************************************************
* 参数校验
*
* @param str ep: "or 1=1"
*/
public static boolean isSqlValid(String str) {
Matcher matcher = sqlPattern.matcher(str);
if (matcher.find()) {
System.out.println("参数存在非法字符,请确认:"+matcher.group());//获取非法字符:or
return false;
}
return true;
}- 持久层使用参数化的持久化sql,使用预编译语句集,切忌使用拼接字符串;
String sql= "select * from user where name=?";
PreparedStatement ps = conn.prepareStatement(sql);
ps.setString(1, name);
ResultSet rs = ps.executeQuery();专项
1. spring的jdbcTemplate防止sql注入
- 1. 使用参数化sql代替字符串拼接(少参)
字符串拼接(不安全): jdbcTemplate.update("update user set age = "+age+" where uuid = "+uuid);
参数化sql(安全): jdbcTemplate.update("update user set age = ? where uuid = ?",new Object[]{age,uuid});- 2. 参数化,将参数进行数组打包注入(多参)
List- 3. 参数化,将参数进行map集合打包,指定参数注入(多参)
Map map = new HashMap();
String sql = "update user set name=:name,age =:age where uuid = 4";
map.put("name",name);
map.put("age",age);
jdbcTemplate.update(sql,map); - 4. 参数化,使用预编译语句(少参,参数为单体对象)
String sql = "insert into user(name,age) values (?,?)";
jdbcTemplate.update(sql, new PreparedStatementSetter() {
@Override
public void setValues(PreparedStatement ps) throws SQLException {
ps.setString(1, "sixmonth");
ps.setInt(2, 18);
}});- 5. 参数化,使用预编译语句,进行批处理更新(多参,参数为对象集合)
String sql = "insert into user(name,age) values (?,?)";
List userList = new ArrayList();//此处为测试,使用空集合
jdbcTemplate.batchUpdate(sql, new BatchPreparedStatementSetter() {
public void setValues(PreparedStatement ps, int i) throws SQLException {
ps.setString(1, userList.get(i).getName());
ps.setInt(2, userList.get(i).getAge());
}
@Override
public int getBatchSize() {
return userList.size();
}
}); 2. mybatis防止sql注入
mybatis是一款优秀的持久层框架,在防止sql注入方面,mybatis启用了预编译功能,在所有的SQL执行前,
都会先将SQL发送给数据库进行编译,执行时,直接替换占位符"?"即可;
mybatis在处理传参的时候,有两种处理方式,一种是#,另一种是$;
- #{XXX},将传入参数都当成一个字符串,会自动加双引号,已经经过预编译,安全性高,能很大程度上防止sql注入;
- ${XXX},该方式则会直接将参数嵌入sql语句,未经过预编译,安全性低,无法防止sql注入;
总结
在项目中我们一般都会对sql的参数进行多重的限制,同时多提高代码的规范和质量,多使用预编译功能,这样才能更大程度去防范sql注入!