在处理一些老接口的时候,发现之前很多接口的写法是前端传参后端直接拼写的方式,这种方式很容易产生sql注入,目前解决失去了注入的方式有
1.使用#符号做占位符,在动态解析时会被解析成?,而$会是""
sql
-- 使用#{}时?会是占位符就算 name = "小米 or 1=1"也查不出来
select * from b where name = "?"
--使用${}是会变成 name = 小米 or 1=1
select * from b where name =
2.使用PreparedStatement,PreparedStatement具有预编译功能
3.对敏感参数过滤
4.nginx反向代理防止SQL注入
因为我做的是老接口以后可能不维护,所以这里简单的用第三种:
//算是一种穷尽出可能出现的关键字,校验input中是否包含某些关键字
public static boolean containsWord(String input) {
if (StringUtils.isEmpty(input)){
return false;
}
String badStr =
"select|update|and|or|delete|insert|truncate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute|table|"+
"char|declare|sitename|xp_cmdshell|like|from|grant|use|group_concat|column_name|" +
"information_schema.columns|table_schema|union|where|order|by|" +
"*|;|+|,|//|/|%|#";
String[] arr = badStr.split("\\|");
for (String s : arr) {
String regex = "\\b" + Pattern.quote(s) + "\\b";
Boolean isTure = Pattern.compile(regex).matcher(input).find();
if (isTure){
return true;
}
}
return false;
}