易网时代-编程资源站
易网时代-编程资源站 
我们看到:select id,no from user where id=2;
如果该语句是通过sql字符串拼接得到的,比如: String sql = "select id,no from user where id=" + id;
其中的 id 是一个用户输入的参数,那么,如果用户输入的是 2, 那么上面看到查到了一条数据,如果用户输入的是 2 or 1=1 进行sql注入攻击,
那么看到,上面的语句(select id,no from user where id=2 or 1=1;)将user表中的所有记录都查出来了。
这就是典型的sql注入。
再看一列:
我们看到通过 sql 注入能够直接将表 sqlinject 删除掉!可见其危害!
2. sql 注入的原因
sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量。
但是更深层次的原因是,将用户输入的字符串,当成了 “sql语句” 来执行。
比如上面的 String sql = "select id,no from user where id=" + id;
我们希望用户输入的 id 的值,仅仅作为一个字符串字面值,传入数据库执行,但是当输入了: 2 or 1=1 时,其中的 or 1=1 并没有作为 where id= 的字面值,而是作为了 sql语句 来执行的。所以其本质是将用户的输入的数据,作为了命令来执行。
3. sql注入的防御
1> 基本上大家都知道 采用sql语句预编译和绑定变量,是防御sql注入的最佳方法。但是其中的深层次原因就不见得都理解了。
String sql = "select id, no from user where id=?";PreparedStatement ps = conn.prepareStatement(sql);ps.setInt(1, id);ps.executeQuery();如上所示,就是典型的采用 sql语句预编译和绑定变量 。为什么这样就可以防止sql 注入呢?
MySQLCodec codec = new MySQLCodec(Mode.STANDARD);name = ESAPI.encoder().encodeForSQL(codec, name);String sql = "select id,no from user where name=" + name;ESAPI.encoder().encodeForSQL(codec, name)