防sql注入方法（防止sql注入的几种方法）

1. 如何防sql注入
2. 防止sql注入的几种方法
3. mybatis在传参时，为什么#能够有效的防止sql注入

如何防sql注入

防SQL注入最好的方法就是千万不要自己拼装SQL命令和参数, 而是用PDO的prepare和bind. 原理就在于要把你的SQL查询命令和传递的参数分开: > prepare的时候, DB server会把你的SQL语句解析成SQL命令. > bind的时候, 只是动态传参给DB Server解析好的SQL命令.其他所有的过滤特殊字符串这种白名单的方式都是浮云.

防止sql注入的几种方法

SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编程时的疏忽，通过SQL语句，实现无帐号登录，甚至篡改数据库。防止SQL注入的方法:

　　1、JBDC方式查询，我们可以利用PreparedStatement，这样不光能提升查询效率，而且他的set方法已经为我们处理好了sql注入的问题。

　　2、hibernate方式查询，我们利用name：parameter 方式查询，例如利用find(String queryString, Object value...Object value)方法查询，就可以避免sql注入.

　　3、在查询方法中我检查sql，将非法字符，导致sql注入的字符串，过滤掉或者转化。

　　4、在页面中限制，我们通过js设置，不让用户输入非法字符。

　　5、拦截请求的每一个参数，并将这个参数的非法字符转化，下面的为提交的参数中没有附件的，实现方式。首先在web.xml配置文件中添加这个类的filter，继承类HttpServletRequestWrapper

　　6、拦截请求的每一个参数，并将这个参数的非法字符转化，下面的为提交的参数中 有含附件的，实现方式。在xml中配置上传的时候，配置这个类.继承类CommonsMultipartResolver

　　7、使用web应用防火墙，比如阿里云、华为云、安恒WAF等，或者适用免费的GOODWAF，可以在云端直接接入GOODWAF，可以有效的避免sql被注入入侵的风险，放置网站被注入攻击。

mybatis在传参时，为什么#能够有效的防止sql注入

用#{参数}进行预编译就可以防止了，千万别用${}这种方式注入参数。

mybatis框架作为一款半自动化的持久层框架，其sql语句都要我们自己来手动编写，这个时候当然需要防止sql注入。其实Mybatis的sql是一个具有“输入+输出”功能，类似于函数的结构，如下：

select id,title,author,content

from blog where id=#{id}

这里，parameterType标示了输入的参数类型，resultType标示了输出的参数类型。回应上文，如果我们想防止sql注入，理所当然地要在输入参数上下功夫。上面代码中高亮部分即输入参数在sql中拼接的部分，传入参数后，打印出执行的sql语句，会看到sql是这样的：

select id,title,author,content from blog where id = ?

不管输入什么参数，打印出的sql都是这样的。这是因为mybatis启用了预编译功能，在sql执行前，会先将上面的sql发送给数据库进行编译，执行时，直接使用编译好的sql，替换占位符“？”就可以了。因为sql注入只能对编译过程起作用，所以这样的方式就很好地避免了sql注入的问题。

到此，以上就是小编对于防sql注入的方法的问题就介绍到这了，希望介绍的3点解答对大家有用，有任何问题和不懂的，欢迎各位老师在评论区讨论，给我留言。