预防sql注入攻击的应对措施

SQL注入是一种数据库攻击手段。攻击者通过向应用程序提交恶意代码来改变原SQL语句的含义，进而执行任意SQL命令，达到入侵数据库乃至操作系统的目的。在Mybatis Mapper Xml中，#变量名称创建参数化查询SQL语句,不会导致SQL注入。而$变量名称直接使用SQL指令，会导致SQL注入攻击。

例如：以下代码片段采用$变量名称动态地构造并执行了SQL查询。

    <!--select user information by name-->

    <select id="queryByUserName" resultMap="userResultMap" parameterType="String">

        select * from db_user where user_name=${username}

    </select>

如果攻击者能够替代username中的任意字符串，它们可以使用下面的关于username的字符串进行SQL注入。

    validuser' OR '1'='1 

当其注入到命令时，命令就会变成：

    select * from db_user where user_name =’validuser' OR '1'='1'

修复建议：

造成SQL注入攻击的根本原因在于攻击者可以改变SQL查询的上下文，使程序员原本要作为数据解析的数值，被篡改为命令了。防止SQL注入的方法如下：

（1）正确使用参数化API进行SQL查询。

（2）如果构造SQL指令时需要动态加入约束条件，可以通过创建一份合法字符串列表，使其对应于可能要加入到SQL指令中的不同元素，来避免SQL注入攻击。

例如：以下代码片段采用#变量名称，创建参数化查询SQL语句。

     <!--select user information by name-->

     <select id="queryByUserName" resultMap="userResultMap" parameterType="String">

         select * from db_user where user_name=#{username}

     </select>