SQL注入防御

【JDBC】

1、预编译语句

      预编译语句会事先把SQL语句编译好，执行时仅仅需要用传入的参数代替掉？占位符即可。

2、存储过程

      存储过程（Stored Procedure）是一组完成特定功能的SQL语句集。经编译后存储在数据库中，用户通过调用存储过程并给定参数（如果该存储过程带有参数）就可以执行它，也可以避免SQL注入攻击。

【Mybatis】

1、#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。

2、$将传入的数值直接显示生成在SQL中。

3、#方式能够很大程度上防止SQL注入，$方式无法防止SQL注入。

4、$方式一般用于传入数据库对象，例如传入表名。

5、一般能用#的就别用$，若不得不使用“${xxx}”这样的参数，要手工做好过滤工作，来防止SQL注入攻击。

注：

#{}：相当于JDBC中的PreparedStatement

${}：是输出变量的值

【Hibernate】

      Hibernate是一个开放源代码的对象关系映射框架，它对JDBC进行了非常轻量级的对象封装，使得Java程序员可以随心所欲的使用对象编程的思维操纵数据库。

1、对参数名称进行绑定

2、对参数位置进行绑定

3、set Parameter（）方法

4、set Properties（）方法

5、HQL拼接方法----推荐使用Spring工具包的StringEscapeUtils.escapesql()方法对参数进行过滤