1、防SQL注入基本原則:
所有用戶輸入都必須進行合法性校驗。所有數據庫SQL操作必須參數化。
2、回收開發人員等操作生產庫權限。
減少開發人員、非DBA操作生產庫的權限;數據庫數據查詢要有權限分級和審覈。
3、儘量使用PreparedStatement代替Statement。
一方面,在大多數情況下,使用PreparedStatement的性能將優於使用Statement,另外一方面,可以最大限度的減少SQL注入發生的可能行。
4、用戶提交的數據都應該做合法性校驗。
避免用戶輸入‘,““,-,%,#,&,|,@,+等有可能導致SQL注入的危險字符給系統造成危害。