SQL 注入

一.什么是SQL注入？
SQL注入是一种将sql代码添加到输入参数中，传递到sql服务器解析并执行的一种攻击手法。

原来：select * from table1 where id = -1;
注入：select * from table1 where id = -1 or 1=1 ;

手动对id后进行赋值。因为where后面的条件永远为真，所以可以查到整张表内容。
所以sql注入指输入参数未经过过滤，然后直接拼接到sql语句当中解析执行，达到意象之外的行为。

二.sql注入产生原因 ？
1、web开发人员无法保证所有的输入都已经过滤
2、攻击者利用发送给sql服务器的输入数据构造可执行的sql代码
3、数据库未做相应的安全配置输入信息：get、post、http头、cookie信息等

三.如何进行SQL注入攻击？
借助逻辑推理查找sql漏洞
1、识别web输入点：get、post、http
2、那些请求会触发异常：对输入点加各种类型字符看异常：get直接改链接、post提交加特殊字符
3、检测服务器中响应的异常：看500状态码和302异常产生跳转，或者差不到404错误

四.如何进行SQL注入攻击？
方式1：利用数字注入方法来达到sql注入

原：select * from table1 where id = -1;
注入：select * from table1 where id = -1 or 1=1 ;

2:字符串攻击 '# 或 '-- （此时，‘# 和 '-- 后面会被当作注释处理。绕过了密码的验证，登录后台系统。）

原来：select * from table1 where name='cici' and password ='123456';  
注入：select * from table1 where name='cici'# and password ='123456';  (参数为cici'#)
注入：select * from table1 where name='cici'--  ' and password ='123456';  (参数为cici'--)

五.预防sql注入
1.检查输入变量的类型和格式：例如get时 ？id=1 验证id是否为数字等等，比如正则表达式
2.对特殊字符进行转义
3.预编译机制（占位符）, 调用预处理函数，在填充参数
4.存储过程

六.Mybatis是如何防止SQL注入的？
（1）预编译机制：

  <select id="getNameByUserId" resultType="String">
      SELECT name FROM user where id = #{userId}
  </select>

可以看到输入的参数是String类型的userId,当我们传入userId="34;drop table user;"后，打印的语句是这样的：

select name from user where id = ?

不管输入何种userID，他的sql语句都是这样的。这就得益于mybatis在底层实现时使用预编译语句。数据库在执行该语句时，直接使用预编译的语句，然后用传入的userId替换占位符？就去运行了。不存在先替换占位符？再进行编译的过程，因此SQL注入也就没有了生存的余地了。

那么mybatis是如何做到sql预编译的呢？其实框架底层使用的正是PreparedStatement类。PreparedStaement类不但能够避免SQL注入，因为已经预编译，当N次执行同一条sql语句时,节约了(N-1)次的编译时间，从而能够提高效率。

如果将上面的语句改成：

<select id="getNameByUserId" resultType="String">
        SELECT name FROM user where id = ${userId}
</select>

当我们输入userId="34;drop table user;"后，打印的语句是这样的：

 select name from user where id = 34;drop table user;

此时，mybatis没有使用预编译语句，它会先进行字符串拼接再执行编译，这个过程正是SQL注入生效的过程
因此在编写mybatis的映射语句时，尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数，要手工地做好过滤工作，来防止sql注入攻击。

  #{}：相当于JDBC中的PreparedStatement
  ${}：是输出变量的值

简单说，#{}是经过预编译的，是安全的；{}是未经过预编译的，仅仅是取变量的值，是非安全的，存在SQL注入。 　　如果我们order by语句后用了{}，那么不做任何处理的时候是存在SQL注入危险的。你说怎么防止，那我只能悲惨的告诉你，你得手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常（注入语句一般很长），更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中。