什么是sql注入，这些坑得避开

 1、sql 注入是什么

sql 注入就是用户通过输入的参数，拼接到原先的 sql 中，成为 sql 的一部分，从而影响 sql 的功能和执行结果

2、sql 注入破坏力-小兵破坏力

比如原先 sql 如下

select * from user where name=用户名 and password=密码;

用户输入

name：臻大虾-- 注释 password：密码

那最终的结果猜猜是什么？

select * from user where name=臻大虾-- 注释 and password=密码;

两个-- 代表注释，所以这条 sql 只需要输入用户名，就可以获取用户信息，跳过了密码的校验

-boss 破坏力

来个厉害的，比如用户输入以下参数

name:臻大虾 password:; drop table user;-- 注释

最终的 sql：

select * from user where name=臻大虾 and password=; drop table user;-- 注释;

user 表居然被删除了，看到这，此时的你可能想原地爆炸。

3、对策3.1、PreparedStatement 预编译

使用预编译，这样传入的参数，会被当作字符串，也就是被引号包起来

拿刚才的例子，用户输入

name：臻大虾-- 注释 password：密码

如果使用了预编译，那最终的 sql

select * from user where name=臻大虾\-- \注释 and password=密码;

参数中的引号被转义，从而避免成为 sql 的一部分。

3.2、有些语句不能预编译

预编译获取参数是根据#，而$ 是拼接的意思

#{}:解析为预编译语句的一个参数占位符

${}:仅仅作为一个字符串，在动态 sql 中直接替换变量，传入什么值，就是什么值

比如传入：臻大虾 or 1=1

1、SELECT * FROM user WHERE name=#{name} //SELECT * FROM user WHERE name=\臻大虾\ or 1=1 2、SELECT * FROM user WHERE name=${name} //SELECT * FROM user WHERE name=臻大虾 or 1=1

但是有些情况使用#会报错，比如 like、in 如果使用#会报错，而使用则不会，所以有些人就直接使用

还有 order by，根据传入的参数排序，这些情况就会有 sql 注入的危险，那怎么办呢？

likeselect * from user where name like %#{name}% //会报错 select * from user where name like %${name}% //正常

正确写法

使用 mysql 的字符串拼接函数 concat

select * from user where name like concat(%,#{name},%) in

正确写法，使用 foreach

@Select("<script>" + "select * from user where id in "+ "<foreach item=item index=index collection=userIds open=( separator=, close=)> " + "#{item}" + "</foreach>"+ "</script>") List<User> getByIds(@Param("userIds") List<Long> userIds); order by

有时需要根据前端传入的参数来排序，此时就会有 sql 注入的危险，此时可以使用白名单

比如

List<String> allowSortColumnList= Lists.newArrayList("age","score"); if(!allowSortColumnList.contains(sortParam)){ throw new RuntimeException("can not sort by "+sortParam); }

总结了很多有关于java面试的资料，希望能够帮助正在学习java的小伙伴。由于资料过多不便发表文章，创作不易，望小伙伴们能够给我一些动力继续创建更好的java类学习资料文章，

请多多支持和关注小作，别忘了点赞+评论+转发。右上角私信我回复【03】即可领取免费学习资料谢谢啦！

原文出处：

https://mp.weixin.qq.com/s/qW_sOabkx5kK4obuJXSAUw