阿里面試官：PreparedStatement如何避免或阻止SQL注入的？

　　你來，我們一起精進！你不來，我和你的競爭對手一起精進！

　　前兩天寫了一篇文章，其中部分內容描述顛倒了，被一位熱心網友指正了，非常感謝他。今天我們一起來聊聊另一位網友面試阿里遇到的 SQL 注入問題，認真閱讀，答案就在文中！0x01簡介0x02 JDBC介紹說明0x03 Mybatis介紹說明更多場景0x04 JPA和休眠介紹說明JPA

　　文章主要內容包括：Java持久層技術/框架簡單介紹不同場景/框架下易導致SQL注入的寫法如何避免和修復SQL注入

　　JDBC：全稱Java數據庫連接是Java訪問數據庫的API，不依賴于特定數據庫（database-independent）所有Java持久層技術都基于JDBC

　　更多請參考http://www.oracle.com/technetwork/java/javase/jdbc/index.html

　　直接使用JDBC的場景，如果代碼中存在分解SQL語句，那么很有可能會產生注入，如

　　安全的寫法是使用參數化查詢（參數化查詢），即SQL語句中使用參數綁定（？占位符）和，如

　　還有一些情況，例如按名稱，列名稱排序，不能使用參數綁定，此時需要手工過濾，如通常按按順序排序，其名稱是有限的，因此可以使用白名單的方式來限制參數值

　　這里需要注意的是，使用了 并不意味著不會產生注入，如果在使用之前，存在拆分sql語句，那么仍然會導致注入，如

　　看到這里，大家肯定會好奇是如何防止SQL注入的，來了解一下

　　正常情況下，用戶的輸入是作為參數值的，而在SQL注入中，用戶的輸入是作為SQL指令的一部分，會被數據庫進行編譯/解釋執行。當使用了，帶占位符（？）的sql語句只會被編譯一次，之后執行只是將占位符替換為用戶輸入，并不會再次編譯/解釋，因此從根本上防止了SQL注入問題。

　　更詳細和準確的回答，請參考：PreparedStatement如何避免或阻止SQL注入？如何使用Java PreparedStatement和CallableStatement修復SQL注入首個類持久性框架分為JDBC（原始SQL）和Hibernate（ORM）簡化絕大部分JDBC代碼，手工設置參數和獲取結果靈活，使用者能夠完全控制SQL，支持高級映射

　　更多請參考http://www.mybatis.org/

　　在MyBatis中，使用XML文件或注釋來進行配置和映射，將接口和Java POJO（普通的舊Java對象）映射到數據庫記錄

　　XML例子

　　映射器界面

　　XML配置文件

　　注釋示例

　　可以看到，使用者需要自己編寫SQL語句，因此當使用不當時，會導致注入問題

　　與使用JDBC不同的是，MyBatis使用和來進行參數值替換

　　使用語法時，MyBatis會自動生成，使用參數綁定（）的方式來設置值，上述兩個示例等價的JDBC查詢代碼如下：

　　因此可以有效防止SQL注入，詳細可參考http://www.mybatis.org/mybatis-3/sqlmap-xml.html 字符串替換部分

　　而使用語法時，MyBatis會直接注入原始字符串，即相當于分段字符串，因此會導致SQL注入，如

　　名稱估計，實際執行的語句為

　　因此建議盡量使用，但有些時候，如按語句排序，使用會導致錯誤，如

　　sortBy參數估計，替換后會成為

　　即以字符串“ name”來排序，而不是按名稱排序，詳細可參考https://stackoverflow.com/a/32996866/6467552。

　　這種情況就需要使用

　　使用了后，使用者需要自行過濾輸入，方法有：

　　代碼層使用白名單的方式，限制允許的值，如只能為，變量，異常情況則設置為替換值

　　在XML配置文件中，使用標簽來進行判斷

　　Mapper接口方法

　　xml配置文件

　　因為Mybatis不支持else，需要替換值的情況，可以使用

　　除了之外，還有一些可能會使用到情況，可以使用其他方法避免，如

　　像語句

　　如需要使用通配符（通配符和），可以

　　在代碼層，在參數值兩邊加上，然后再使用

　　使用標簽來構造新參數，然后再使用

　　Mapper接口方法

　　xml配置文件

　　語句內部的值為OGNL表達式，具體可參考http://www.mybatis.org/mybatis-3/dynamic-sql.html bind部分

　　使用SQL 函數

　　除了注入問題之外，這里還需要對用戶的輸入進行過濾，永久有通配符，否則在表中數據量中斷的時候，假設用戶輸入為，會進行全表模糊查詢，嚴重情況下可導致DOS ，參考http://www.tothenew.com/blog/sql-wildcards-is-your-application-safe/

　　IN條件

　　使用和

　　Mapper接口方法

　　xml配置文件

　　具體可參考http://www.mybatis.org/mybatis-3/dynamic-sql.html foreach部分

　　極限語句

　　直接使用即可

　　Mapper接口方法

　　xml配置文件

　　JPA：全稱Java持久性APIORM（對象關系映射）持久層API，需要有具體的實現

　　更多請參考https://en.wikipedia.org/wiki/Java_Persistence_API

　　休眠：JPA ORM實現

　　更多請參考http://hibernate.org/

　　這里有一種錯誤的認識，使用了ORM框架，就不會有SQL注入。而實際上，在Hibernate中，支持HQL（Hibernate查詢語言）和native sql查詢，前者存在HQL注入，封裝和之前JDBC存在相同的注入問題，來具體看一下

　　HQL查詢例子

　　這里的為類名，和原生SQL類似，拼接會導致注入

　　正確的用法：位置參數（位置參數）

　　命名參數（命名參數）

　　命名參數列表（命名參數列表）

　　類實例（JavaBean）

　　存在SQL注入

　　使用參數綁定來設置參數值

　　JPA中使用JPQL（Java持久性查詢語言），同時也支持本地sql，因此和Hibernate存在類似的問題，這里就不再細說，注意到的可以參考[如何使用Java Persistence API修復SQL注入（ JPA）