java项目中如何防止sql注入？

简介

SQL注入就是客户端在向服务器发送请求的时候，sql命令通过表单提交或者url字符串拼接传递到后台持久层，最终达到欺骗服务器执行恶意的SQL命令；

实践

项目中如何防止sql注入呢，有以下三点：

前端表单进行参数格式控制；后台进行参数格式化，过滤所有涉及sql的非法字符；

//参考：/blog/1153989//过滤 '//ORACLE 注解 -- /**///关键字过滤 update,deletestatic String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"+ "(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";static Pattern sqlPattern = pile(reg, Pattern.CASE_INSENSITIVE);//表示忽略大小写/**************************************************************************** 参数校验* * @param str ep: "or 1=1"*/public static boolean isSqlValid(String str) {Matcher matcher = sqlPattern.matcher(str);if (matcher.find()) {System.out.println("参数存在非法字符，请确认："+matcher.group());//获取非法字符：orreturn false;}return true;}

持久层使用参数化的持久化sql，使用预编译语句集，切忌使用拼接字符串；

String sql= "select * from user where name=?";PreparedStatement ps = conn.prepareStatement(sql);ps.setString(1, name);ResultSet rs = ps.executeQuery();

专项

1.spring的jdbcTemplate防止sql注入

1.使用参数化sql代替字符串拼接(少参)

字符串拼接(不安全)： jdbcTemplate.update("update user set age = "+age+" where uuid = "+uuid);参数化sql(安全): jdbcTemplate.update("update user set age = ? where uuid = ?",new Object[]{age,uuid});

2. 参数化，将参数进行数组打包注入(多参)

List<Object> obj = new ArrayList<Object>();obj.add(name);obj.add(age);String sql = "update user set name=?,age = ? where uuid = 4";jdbcTemplate.update(sql,obj.toArray());

3.参数化，将参数进行map集合打包，指定参数注入(多参)

Map<String,Object> map = new HashMap<String,Object>();String sql = "update user set name=:name,age =:age where uuid = 4";map.put("name",name);map.put("age",age);jdbcTemplate.update(sql,map);

4.参数化，使用预编译语句(少参，参数为单体对象)

String sql = "insert into user(name,age) values (?,?)"; jdbcTemplate.update(sql, new PreparedStatementSetter() {@Overridepublic void setValues(PreparedStatement ps) throws SQLException { ps.setString(1, "sixmonth"); ps.setInt(2, 18); }});

5.参数化，使用预编译语句，进行批处理更新(多参，参数为对象集合)

String sql = "insert into user(name,age) values (?,?)"; List<User> userList = new ArrayList<User>();//此处为测试，使用空集合jdbcTemplate.batchUpdate(sql, new BatchPreparedStatementSetter() {public void setValues(PreparedStatement ps, int i) throws SQLException {ps.setString(1, userList.get(i).getName());ps.setInt(2, userList.get(i).getAge());}@Overridepublic int getBatchSize() {return userList.size();}});

2.mybatis防止sql注入

mybatis是一款优秀的持久层框架，在防止sql注入方面，mybatis启用了预编译功能，在所有的SQL执行前，

都会先将SQL发送给数据库进行编译，执行时，直接替换占位符"?"即可；

mybatis在处理传参的时候，有两种处理方式，一种是#，另一种是$；

#{XXX}，将传入参数都当成一个字符串，会自动加双引号，已经经过预编译，安全性高，能很大程度上防止sql注入；${XXX}，该方式则会直接将参数嵌入sql语句，未经过预编译，安全性低，无法防止sql注入；

总结

在项目中我们一般都会对sql的参数进行多重的限制，同时多提高代码的规范和质量，多使用预编译功能，这样才能更大程度去防范sql注入！