SQL注入防范

强类型语言防数字型注入

JAVA、C#等强类型语言几乎可以完全忽略数字型注入,程序在接收ID参数后,做了一次数据类型转换,如果ID参数接收的数据是字符串,那么转换时将会发生Exception

1
2
//接收ID参数并转换为int类型
int id = Integer.parseInt(request.getParameter("id"));

但是像PHP、ASP这样的弱类型语言没有强制要求数据类型,会根据参数自动推导出数据类型。这没有对id变量机型数据类型转换,如果出现字符串类型会直接带入数据库查询,从而导致SQL注入

1
2
3
$id = $_GET['id'];
$sql = "select * from news where id = $id;";
$news = exec($sql);

针对这个问题,也可以使用一些函数来进行数据类型判断,is_numeric()、ctype_digit()来对是否为数据进行判断

特殊字符转义

判断输入字符串中是否存在敏感字符,如果存在进行转义,MySQL使用\进行转义

当出现单引号时,会变成\',从而让单引号无法有效

预编译语句+参数化查询

预编译

预编译 指的是 SQL 语句的结构在数据库端被提前编译和优化,而参数值在运行时才传入。可以把这想象成一个 “填空题模板”

1
2
-- 这是一个预编译的"模板"
SELECT * FROM users WHERE username = ? AND password = ?

传统 Statement vs PreparedStatement

1. 传统 Statement(字符串拼接)

1
2
3
4
5
6
7
String username = "admin";
String password = "123456";

// 直接拼接SQL字符串
String sql = "SELECT * FROM users HERE username = '" + username + "' AND password = '" + password + "'";
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery(sql);

执行过程

  1. 拼接完整SQL:SELECT * FROM users WHERE username = 'admin' AND password = '123456'
  2. 每次执行都要:语法分析 → 语义分析 → 优化 → 生成执行计划 → 执行
  3. 重复劳动:即使结构相同,只是参数不同,也要重新编译

2. PreparedStatement(预编译)

1
2
3
4
5
6
7
8
9
10
11
String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement ps = conn.prepareStatement(sql);  // ⭐预编译发生在这里⭐

// 后续多次执行
ps.setString(1, "admin");
ps.setString(2, "123456");
ResultSet rs1 = ps.executeQuery();

ps.setString(1, "user1");
ps.setString(2, "password1");
ResultSet rs2 = ps.executeQuery();  // 重用编译结果

执行过程

  1. prepareStatement():数据库收到 SELECT * FROM users WHERE username = ? AND password = ?
    • 进行语法分析、语义检查、优化、生成执行计划
    • 将编译结果缓存起来
  2. executeQuery():只需要传入参数值,直接使用缓存的执行计划

JAVA、C#等语言都提供了预编译语句

JAVA中提供了三个接口与数据库交互,分别是Statement、PreparedStatement、CallableStatement

Statement用于执行静态SQL语句,并返回所生成结果的对象。PreparedStatement为Statement的子类,表示预编译SQL语句的对象。CallableStatement为PreparedStatement的子类,用于执行SQL存储过程

安全代码

1
2
3
4
5
6
7
8
9
int id = Integer.parseInt(request.getParameter("id"));
String sql = "select id, username,password from users where id = ?";
PreparedStatement ps = this.conn.prepareStatement(sql);
ps.setInt(1,id);						// 关键防护点
ResultSet res = ps.executeQuery();
Users user = new Users();
if(res.next()){
	//封装user对象属性
}
  • 使用参数化查询,用户输入的 id 被作为参数传递,而不是直接拼接到 SQL 中,即使攻击者传入 1 OR 1=1,也会在 Integer.parseInt() 处被拦截
  • 通过 setInt() 方法确保参数类型安全,数据库知道这是一个整数类型,不会当作 SQL 命令解析

总结:不要使用SQL动态拼接语句,如果使用拼接语句,即使使用PreparedStatement也没用

错误例子

1
2
3
4
String id = request.getParameter("id");
String sql = "select id, username,password from users where id = "+id;
PreparedStatement ps = this.conn.prepareStatement(sql);
ResultSet res = ps.executeQuery();

框架技术

存在一种专门与数据库打交道的框架,称为持久化框架,有代表性的Hibernate、MyBatis、JORM等

Hibernate是一个开放源代码的ORM(对象关系映射)框架。可以使程序员使用面向对象编程思维操作数据库

Hibernate自定义一种HQL语言,是一种面向对象的数据查询语句

**但凡涉及到从数据库查询数据的情况,尽量避免出现字符串动态拼接**,最好使用参数名称或者位置绑定的方式

(1)代码位置绑定

1
2
3
4
5
6
int id = Integer.parseInt(request.getParameter("id"));
Session session = HibernateSessionFactory.getSession();	//获取 Hibernate 会话
String hql = "from Student stu where stu.studentNo = ?";
Query query = session.createQuery(hql);			//创建 Hibernate Query 对象
query.setParameter(0,id);		//封装参数,将 id 值设置到第一个参数位置(索引从0开始)
List<Student> list = query.list();
  • Session 是 Hibernate 的核心接口,相当于 JDBC 的 Connection
  • ?:参数占位符

(2)使用参数名称

1
2
3
4
5
6
int id = Integer.parseInt(request.getParameter("id"));
Session session = HibernateSessionFactory.getSession();		
String hql = "from Student stu where stu.studentNo = :id";
Query query = session.createQuery(hql);
query.setParameter("id",id);		//封装参数
List<Student> list = query.list();

存储过程

各数据库的存储过程安全用法

1. MySQL

1
2
3
4
5
6
7
DELIMITER //
CREATE PROCEDURE GetUserSafe(IN userId INT)
BEGIN
    -- 直接使用参数,安全
    SELECT * FROM users WHERE id = userId;
END //
DELIMITER ;

Java 调用

1
2
3
4
String sql = "{call GetUserSafe(?)}";
CallableStatement cs = conn.prepareCall(sql);
cs.setInt(1, userId);  // 安全
ResultSet rs = cs.executeQuery();

2. Oracle

1
2
3
4
5
6
7
8
9
10
11
12
CREATE OR REPLACE PROCEDURE GetEmployeeSafe(
    p_emp_id IN NUMBER
) AS
BEGIN
    -- 使用绑定变量
    FOR emp_rec IN (
        SELECT * FROM employees WHERE employee_id = p_emp_id
    ) LOOP
        -- 处理数据
        DBMS_OUTPUT.PUT_LINE(emp_rec.first_name);
    END LOOP;
END;

3. SQL Server

1
2
3
4
5
6
7
8
9
CREATE PROCEDURE GetOrderDetailsSafe
    @OrderId INT,
    @CustomerId INT = NULL
AS
BEGIN
    SELECT * FROM OrderDetails 
    WHERE OrderId = @OrderId
      AND (@CustomerId IS NULL OR CustomerId = @CustomerId);
END

注意:依旧是不要出现动态拼接的sql语句