先说说啥是SQL注入吧， 这玩意儿其实就是黑客往你的网站里塞一些奇怪的字符，让数据库跑出你不想让它跑的东西。比如说登陆框里直接输

admin' or '1'='1

后来啊就Neng直接进去后台，爽不？这就是Zui典型的SQL注入。

为啥SQL注入这么可怕

1）Neng偷数据：用户表、 密码表、信用卡号统统被抓走。 2）Neng改数据：删库跑路， 删库跑路再删库…… 3）还Neng施行系统命令：有的高大级点的还Neng调系统shell，直接把服务器给干掉。

所以啊， 老板们一定要沉视，不然一天晚上服务器被砸了你还在加班写代码，那就真实的尴尬了。

常见的傻逼写法

hen许多新鲜手写代码的时候就中意这么干：

String sql = "select * from users where name='" + username + "' and pwd='" + password + "'";

这玩意儿根本没Zuo随便哪个过滤， 一旦用户输入带单引号，就直接拼进去施行了。别说黑客，就连你自己dou兴许把自己的代码给炸掉。

防着措施

1️⃣ 参数化查询

用占位符代替直接拼接字符串， 比如在Java里用PreparedStatement：

PreparedStatement ps = conn.prepareStatement;
ps.setString;
ps.setString;
ResultSet rs = ps.executeQuery;

这样用户输入永远被当成普通数据，不会被当成SQL语句施行。

2️⃣ 手动过滤

有些人中意自己写正则把凶险字符过滤掉， 比如：

username = username.replaceAll;
password = password.replaceAll;

这种方法hen轻巧松漏掉新鲜的打手段，而且正则写得不优良还会把正规字符给删了弄得业务出错。

3️⃣ 白名单校验

只允许符合预期格式的数据进入数据库， 比方说手机号只Neng是数字且长远度11位：

if ) { throw new IllegalArgumentException; }

白名单比黑名单平安许多了基本上原因是它只收下明确规定优良的东西。

4️⃣ Zui细小权限原则

不要给应用程序用root账号去连库。专门建一个只读或者只Neng增删改特定表的账号，这样即使被注入，也只Neng干点细小事儿。

5️⃣ 错误信息隐藏

hen许多站点会把数据库错误直接抛到前端页面这叫“泄露内部实现”。其实得统一捕获异常，只返回一句“系统错误，请稍后再试”。这样黑客就kan不到具体是哪一步报错了。

6️⃣ 日志审计+WAF

打开数据库操作日志， 把全部异常SQLdou记录下来；再配合Web Application Firewall，把明显带有关键字的求拦截掉。虽然WAF不是万Neng的，但Neng少许些巨大有些矮小级打。

常用工具/库推荐

• OWASP ESAPI: 给了一套平安API，包括输入过滤和输出编码。
• Dapper / MyBatis / Hibernate: 巨大许多数ORM框架内部Yi经实现了参数化查询，基本不用自己拼SQL。
• SQlMap / Druid监控平台: Neng实时kan到磨蹭查询和异常SQL，帮定位问题。
• Nmap + sqlmap : 用来自测自己的系统有没有注入漏洞。

实战演练：怎么自己测试一下是不是平安？

1. 打开浏览器， 在登录框里随便输点‘或者-- kankan报错没；Ru果页面直接kan得出来数据库错误，那说明太不平安啦！
2. 下载sqlmap工具，对你的URL进行一次扫描。Ru果sqlmap提示有漏洞，那赶紧回去改代码！
3. 把全部SELECT语句改成用PreparedStatement或ORM， 再跑一次kan有没有报错。

——别记不得这些个破烂细小技巧

- 永远不要把用户原始输入直接拼进SQL； - 用参数化查询是Zui稳妥的方法； - 白名单验证比黑名单优良用； - 给数据库账号Zui细小权限； - 隐藏错误信息别让泄露细节； - 开启日志审计和WAFZuo二次防护。

注意：上面这些个dou是我随手写出来的， 没有经过专业审校，Ru果你真实的要上线，请务必找专业平安团队复审一下否则后果自负~ 哈哈~~ ???