SQL 注入攻击
SQL 注入攻击了解吗?
攻击者在 HTTP 请求中注入恶意的 SQL 代码,服务器使用参数构建数据库 SQL 命令时,恶意 SQL 被一起构造,并在数据库中执行。
用户登录,输入用户名 lianggzone , 密码 123 or 1=1 ,如果此时使用参数构造的方法,就会出现select * from user where name = 'lianggzone' and password = '123' or '1' = '1'; 不管用户名和密码是什么内容,使查询出来的用户列表不为空。
如何防范 SQL 注入攻击?
使用预编译的 PrepareStatement 是必须的,但是一般我们会从两个方面同时入手。
Web 端
1)有效性检验。
2)限制字符串输入的长度
服务端
1)不用拼接 SQL 字符串
2)使用预编译的 PrepareStatement
3) 有效性检验。(为什么还要做有效性检验?第一准则,外部都是不可信的,防止攻击者绕过 Web 端请求)
4)过滤 SQL 需要的参数中的特殊字符。比如单引号、双引号。