怎么防止sql注入

程序没有有效过滤用户的输入，使攻击者成功的向服务器提交恶意的SQL脚本，程序在接收后错误的将攻击者的输入作为SQL语句的一部分执行，导致原始的查询逻辑被改变，执行了攻击者精心构造的恶意SQL语句。

如从用户表根据用户名bunian和密码123查用户信息

select * from user where username = 'bunian' and password = '123'

恶意修改用户名参数 bunian -> bunian’ or 1=1 —

select * from user where username = 'bunian' or 1=1 --' and password = '123'

SQL 中 — 是注释标记，如果上面这个 SQL 被执行，就可以让攻击者在不知道任何用户名和密码的情况下成功登录。

预防措施：

• 严格限制 Web 应用的数据库的操作权限，给连接数据库的用户提供满足需要的最低权限，最大限度的减少注入攻击对数据库的危害
• 校验参数的数据格式是否合法（可以使用正则或特殊字符的判断）
• 对进入数据库的特殊字符进行转义处理，或编码转换
• 预编译 SQL（Java 中使用 PreparedStatement），参数化查询方式，避免 SQL 拼接