SQL注入問題

sql 注入式攻擊是未將**與資料進行嚴格的隔離，導致在讀取使用者資料的時候錯誤地把資料作為**的一部分執行而導致一些安全問題。 sql 注入自誕生以來以其巨大的殺傷力聞名。典型的 sql注入的例子是當對 sql 語旬進行字串拼接操作時直接使用未加轉義的使用者輸入內容作為變數，比如

var testcondition ; 
testcondition = request . from ("testcondition")
var sql = "select * from tablea where  id= '"+testcondition+"'"；

在上面的例子中如果使用者輸入的 id 只是乙個數字是沒有問題的可以執行正常的查詢語句。但如果直接用「；」隔開，在 testcondition 裡插入其他 sql 語句，則會帶來意想不到的結果，比如輸入 drop，delete 等。

曾經在某業務中，使用者在修改簽名時，非常偶然地輸入"#–!#"（＠這樣的內容用來表達心情，單擊儲存後觸發資料庫更新。由於該業務未對危險字串 "#–"進行轉義，導致 where 後邊的資訊被注釋掉，執行語句變成

update table set memo= ""# -- !#(@ "where use_id=12345 ;

sql 語句的執行導致全庫的 memo 欄位都被更新。所以， sql 注入的危害不

必贅述，注入的原理也非常簡單。應該如何預防呢？這裡主要從下面幾個方面考慮

(1) 過濾使用者輸入引數中的特殊字元，從而降低被 sql 注入的風險。

(2) 禁止通過字串拼接的 sql 語句，嚴格使用引數繫結傳入的 sql 引數

(3) 合理使用資料庫訪問框架提供的防注入機制。

比如 mybatis 提供的#{}繫結引數，從而防止 sql 注入。同時謹慎使用$ {},${}相當於使用字串拼接 sql拒絕拼接的 sql 語句，使用引數化的語句。

總之，一定要建立對注入式攻擊的風險意識，正確使用引數化繫結 sql 變數，

這樣才能有效地避免 sql 注入。實際上，其他的注入方式也是類似的思路。