什么是SQL注入攻击？如何防止呢？

目录

一、什么是SQL注入？ 

二、如何防止？

2.1 使用预编译语句

2.2 使用 ORM 框架

2.3 用户输入校验

一、什么是SQL注入？ 

SQL 注入是一种常见的网络安全漏洞，攻击者通过在应用程序的用户输入中插入恶意的 SQL 代码，试图欺骗数据库执行非预期的查询。

SQL 注入导致对数据库的未授权访问、数据泄露、数据损坏、数据库坏，甚至完整的数据库被攻陷。

攻击者通常常通过在用户输入中注入 SQL 代码，改变应用程序对数据库的查询语句，以实现他们的恶意目的。

假设有一个简单的登录系统，根据用户提供的用户名和密码进行身份验证。应用程序可能会使用类似以下的 SQL 查询来检查用户是否存在：

String query = "SELECT * FROM users 
                WHERE username='" + userInputUsername + "'"
                AND password='" + userInputPassword + "'";

在这个查询中，userInputUsername 和 userInputPassword 是从用户输入中获取的值。如果应用程序不正确处理这些输入，它可能容易受到 SQL 注入攻击。

考虑以下情况，攻击者在用户名和密码字段中输入了恶意的字符串：

Username: ' OR '1'='1' --
Password: ' OR '1'='1' --

将这些值代入原始的 SQL 查询，得到的查询语句变成了：

SELECT * FROM users WHERE username='' OR '1'='1' --' AND password='' OR '1'='1' --

在注入的 SQL 中，使用 -- 来注释掉他后面的代码，那么我们原来的查询，就会返回用户表中的所有记录，因为 '1'='1' 是一个始终为 true 的条件。

如此，攻击者可以通过注入这样的恶意字符串绕过身份验证，获得对应用程序中所有用户的访问权限，甚至执行其他恶意操作。

如果还只是查询的话影响还不大，万一是一个 delete 操作被注入了，就可能会导致数据库被攻击而导致删除。如下被注入后的 SQL：

DELETE FROM users WHERE username='' OR 1=1; --'

二、如何防止？

2.1 使用预编译语句

使用预编译的语句或参数化的语句，而不是通过字符串拼接构建 SQL 查询。这样可以防止攻击者通过在用户输入中插入恶意代码来改变 SQL 查询的结构。

如使用 JDBC 时，使用 PreparedStatement 而不是 Statement：

// 错误的例子（容易受到 SQL 注入攻击）
String userInput = "admin'; DROP TABLE users;--";
String query = "SELECT * FROM users WHERE username='" + userInput + "'";

// 正确的例子（使用预编译语句）
String userInput = "admin'; DROP TABLE users;--";
String query = "SELECT * FROM users WHERE username=?";
PreparedStatement preparedStatement = connection.prepareStatement(query);
preparedStatement.setString(1, userInput);

2.2 使用 ORM 框架

除了 JDBC 以外，基本都提倡使用 Hibernate 或 MyBatis 这种 ORM 框架，他们都可以自动处理 SQL 查询，减少手动拼接 SQL 的机会。

在 MyBatis 中优先使用 #{} 语法而非 ${} 语法。在 MyBatis 中，#{} 语法会进行预编译，而 ${} 语法是直接将参数的值拼接到 SQL 中，容易受到 SQL 注入攻击。因此，尽可能的使用 #{} 语法。

2.3 用户输入校验

永远不要相信用户的输入，我们需要对用户输入进行验证和过滤，确保只有预期的数据被传递给数据库。使用正则表达式或其他合适的方法来检查输入的合法性。

// 例子：使用正则表达式验证输入是否为合法的用户名
String userInput = request.getParameter("username");

if (userInput.matches("^[a-zA-Z0-9]+$")) {
    // 输入合法，继续处理
} else {
    // 输入非法，拒绝处理
}