防止SQL注入解决方案

 防止SQL注入解决方案

在人员开发培训要最好玉先这样实施安全流程，可最大可能的减少这方面的问题……

STEP1：在设计方案上，采用参数化查询，如以下为JAVA为例：

String sql = "update  carinf set level_id=? where id=?";

PreparedStatement ps = con.prepareStatement(sql);

ps.setString(1, newids);

ps.setInt(2, selectid);

尽可能不使用拼接SQL的形式……。

如果必须采用拼接SQL时，如果参数为字串，需要进行转义，转义字符根据数据库的不同而有所差别……可以打开数据库驱动源码，可以看到全部的转义字符……如果参数为数字，则简单的判断下类型就可以了

if(!check.isNumeric(id))

throw new RuntimeException(" Id is not int ");

 

ps = conn.prepareStatement("select * from region where id = ‘"+ id+”’”);

rs = ps.executeQuery();

一般情况下，为了提高开发速度，只对用户URL做这样的设计，管理员使用的页面URL可以忽略。

STEP2:注入检测，这里以JAVA程序为例，测试工具为ECLIPSE

用IDE搜索JAVA文件内"update "/"insert "/"delete "、“select ”等SQL关键字…，查看源码是否用了SQL拼接。

STEP3:检测结果纪录表，主要记录以下内容

文件：/ebao/src/com/ebao/dao/CustomerDao.java   

总数：2个

行：Line68   

功能：邮相激活帐号

修复结果：fixed

复测结果：ok

STEP4: 根据检测结果做修复，在纪录表上记录修复结果

STEP5:复测，在纪录表上记录复测结果