SQL注入

SQL注入是注入式攻击中的常见类型，SQL注入式攻击是未将代码与数据进行严格的隔离开，最后导致在读取用户数据的时候，错误的把数据作为代码的一部分进行执行，从而导致一些安全问题。

SQL注入自诞生以来以其巨大的杀伤力而闻名于世。典型的SQL输入的例子就是当对SQL进行字符串拼接操作的时候，直接使用未加转义的用户输入内容作为变量，比如下面的这种情况：

var condition;

这样如果用户输入id是没问题，但是如果condition是“;”+delete/update语句的话，会有你意想不到的的结果。

曾经在某个业务中，用户在修改签名时，非常容易输入“#--！#@”这样的内容用来表达心情，然后点击保存后出发数据库更新。由于该业务未危险字符串“#--”进行转义，导致where后边的信息被注释掉，执行语句变成下面这种情况：

update user set common="\"# -- ! #" where user_id=10001

该SQL语句的执行会导致全库的common字段被更新，所以，SQL注入的危害是无法想象的，注入的原理也很简单，

如何防范SQL注入呢？

过滤用户输入参数中的特殊字符，从而降低SQL注入的风险

禁止通过字符串拼接SQL的语句，严格使用参数绑定传入的SQL参数

合理使用数据库访问框架的防注入机制

Mybatis提供的#{}绑定参数，从而防止SQL注入。另外，注意谨慎使用${}，当${}相当于使用字符串拼接SQL拒绝拼接的SQL语句，使用参数化的语句。

总之，一定要简历对注入式攻击的风险意识，正确使用参数化绑定SQL变量，这样才能有效地避免SQL注入。实际上，其他诸如也是类似的方法。