SQL注入的防范措施

SQL注入，是利用web程序的请求，构建特殊的输入参数，将恶意的SQL语句注入到后台数据库引擎中，最终可以欺骗服务器执行恶意SQL。

车牌识别SQL注入

一般我们在根据用户的输入参数进行查询数据库时，需要对参数进行预编译；如果是不能预编译的场景，那么需要对输入参数采取类型检查、转义映射、安全过滤等措施。

一、什么是SQL预编译

很多时候，我们可能会反复地执行一条SQL语句，每次执行的时候只不过是参数值不同而已，SQL语句的结构并未发生变化。

如果没有预编译，那么每次在执行这些SQL的时候，数据库都需要进行词法分析、语义分析、制定执行计划、执行并返回结果这些操作，比较耗时和耗费资源。因此，数据库有一种机制可以将这些结构相同的SQL进行预编译，形成固定的执行计划，下次再执行的时候，直接拿这些执行计划，套入传入的参数执行即可，大大提高了效率。

SQL语句解析过程

如何启用数据库的预编译功能呢？我们使用JDBC的时候，使用PreparedStatement就可以达到目标。如此，SQL的语句会提前发送给数据库进行预编译，变量值就使用占位符来表示，等到真的要执行SQL的时候，将参数填入占位符按照事先的执行计划执行即可。

二、为什么SQL预编译可以防止SQL注入

PreparedStatement和Statement最大的区别在于，前者会提前将SQL发送给数据库进行预编译，提前确定了执行计划，对于输入的参数，无论是什么，都会按照原先的计划进行填入执行，不会再改变SQL的逻辑结构；而后者则会随着输入参数的不同改变SQL逻辑结构，因此有注入的风险。

三、MyBatis是如何做到防止SQL注入的

• #{}的传值方式，本质上就是使用JDBC的PreparedStatement，无论参数是什么，都只是被当做参数执行，不会改变预编译好的SQL结构和执行计划；
• ${}的传值方式，则是使用JDBC的Statement，参数的值会改变SQL的逻辑结构。

一般${}主要用在传入数据库对象的场景中，比如需要使用动态的表名和列名时，这种场景下无法使用#{}，我们就需要手动对参数进行过滤，来确保SQL的安全；

四、不能使用预编译时该如何方式SQL注入

如下是一个对输入参数进行检查的例子：

    protected static boolean sqlValidate(String str) {    
        //统一转为小写    
        str = str.toLowerCase();
        String badStr = "'|select|update|and|or|delete|insert|truncate|char|into|iframe|href|script|activex|html|flash"  
                + "|substr|declare|exec|master|drop|execute|"  
                + "union|;|--|+|,|like|%|#|*|<|>|$|@|\"|http|cr|lf|<|>|(|)";//过滤掉的sql关键字，可以手动添加       
        String[] badStrs = badStr.split("\\|");    
        for (int i = 0; i < badStrs.length; i++) {    
            if (str.indexOf(badStrs[i]) >= 0) {    
                return false;    
            }    
        }    
        return true;    
    }

五、参考文献

如下这篇文章有更详细的介绍：
SQL注入详解