SQL注入与防范

在web应用架构下，终端用户无法直接访问数据库，需要通过http请求到java应用服务器，然后由java应用服务器来访问后端数据库，恶意用户想要获取数据库中的核心价值数据就绕不开Java应用程序，唯一的途径是利用业务程序的漏洞，伪装自己的请求，欺骗业务程序达到最终获取数据库数据的目的。

SQL注入：用户在输入表单或url参数中输入sql命令达到欺骗Java应用程序的目的，破坏原有sql语义，发送恶意的sql到后端数据库，导致数据库信息出现泄露的漏洞。

例如：用户表单登录：用户名：zhangsan’;-- （<-有一个空格）
提交之后：select * from user where username=’zhangsan’;-- ‘ and password = ‘111’;
导致--后面的内容被注释

原因：利用java服务器的动态拼接sql的漏洞，破坏了原先java程序设定的sql语义，欺骗服务器达到恶意获取数据的目的。

解决方案：调用.preparedStatement(sql)方法传入格式化的sql
select * from user where username=? And password = ? （？：占位符）
代码如下：

public static User login(String userName, String password) throws ClassNotFoundException{
      Connection conn = null;
      PreparedStatement ptmt = null;
      ResultSet rs = null;
      User user = null;
//装载驱动程序
Class.forName(JDBC_DRIVER);
//建立数据库连接
try{
     conn = DriverManager.getConnection(DB_URL,USER,PASSWD);
     //执行sql语句
     ptmt = conn.prepaerStatement("select * from user userName = ? and password = ?");
     ptmt.setString(1,userName);
     ptmt.setString(2,password);
     rs = ptmt.executeQuery();
     //获取执行结果
     while（rs.next()）{
         user = new User();
         user.setUserName(rs.getString("userName"));
         user.setSex(rs.getBoolean("sex"));
        }
    }catch(SQLException e){
       //异常处理
       e.printStackTrace()；
    }finally{
       //清理资源
       try{
            if(conn != null)  conn.close();
            if(ptmt != null)  ptmt.close();
            if(rs != null)    rs.close();
       }catch(SQLException e){
       }
   }
  return user;
 }

注意事项：

• 严格的数据库管理权限：仅给与Web应用访问数据库的最小权限；避免 Drop table等权限。
• 封装数据库错误：禁止直接将后端数据库异常信息暴露给用户；对后端异常信息进行必要的封装，避免用户直接查看后端异常。
• 机密信息禁止明文存储：涉密信息需要加密处理，使用AES_ENCRYPT和AES_DECRYPT加密和解密