如何防止sql注入（全）

定义：以用户或者外部的输入动态构造SQL查询的命令，将可能改变SQL查询语句本来的语义，从而导致执行任意的SQL命令，泄露或者篡改SQL数据库的敏感数据。

基本例子：
原sql：String name = request.getParameter("name"); … ResultSet rs = conn.createStatement().executeQuery("SELECT Data FROM Users WHERE Name = '"+name+"'");

篡改后：ResultSet rs = conn.createStatement().executeQuery("SELECT Data FROM Users WHERE Name = ‘joe’ or ‘1’ = ‘1’);


有操作风险的Api函数：
–Statement.execute*
–PreparedStatement.execute*
–CallableStatement.execute*
–JdbcTemplate.query*
–JdbcTemplate.insert
–JdbcTemplate.update
–JdbcTemplate.delete
–JdbcTemplate.execute
–Session.createQuery
– Session.createSQLQuery
–Session.createFilter"


防治思想：
1、输入校验：做好规范的校验工作，比如搜索框不能输入sql语句等；
2、权限控制：在创建一个SQL数据库的用户帐户时，要遵循最低权限法则。用户应只拥有使用其帐户的必要的最低特权。如果系统显示需要用户可以读取和修改自己的数据，那么应该限制其特权，使他们无法读取/编写别人的数据。
3、重复校验：在服务器端重复客户端所进行的所有过滤。（黑名单验证和白名单验证）
例子：public static void main(String[] args) throws IOException {
String regex = "^[0-9\\-\\. ]+$";
Pattern p = Pattern.compile(regex);
for (int i=0; i < args.length; i++) {
String num = args[i].trim();
Matcher m = p.matcher(num);
if (m.matches()) {
dialNumber(num);
} else {
System.out.println("Not a valid phone number.");
}
}
}
4、动态参数：应使用prepared statements语句绑定变量来执行SQL字符串。没有使用prepared statements语句绑定变量可能很容易受到攻击。
使用严格的白名单型来检查可以用于SOL命令的所有用户输入数据。而不是避开元字符集，完全禁止元字符才是最安全的。原因是：后期对已经被输入数据库的数据进行使用可能将之前使用过的元字符丢弃。应该对request中期望的安全的字符集进行更为精细地定义。