# 參數預編譯方式防止SQL注入的原理： 參數化查詢：數據庫先完成SQL指令的編譯，然后才套用參數運行。此時SQL語句的格式已經是規定好了的，需要查的數據也設置好了，缺的只是幾個查詢的數據。惡意參數難以生效 # mybatis框架環境下最容易出現SQL注入的場景及防御手段： * 模糊查詢：這種場景可以采用預編譯的機制，便面SQL語句拼接的問題，從根源上防止SQL注入漏洞的產生 * in之后的函數：使用自帶循環指令解決 * order by之后的參數：在java層面做映射 # 在研發階段通過技術手段避免SQL注入： * 參數預編譯 * 正則表達式過濾傳入參數 * 字符串過濾 * 橫向滲透 # 如何感知到SQL注入漏洞正在被利用： * 對數據庫監測：對數據庫進行操作室，自動對執行的SQL語句進行語義分析，并劃分威脅等級，根據劃分的威脅等級進行不同的處理 * 創建蜜罐數據庫：當對蜜罐數據庫進行操作時，直接出發勁爆并阻斷該IP的訪問（蜜罐哎，放著看看人家的操作又怎么了！） # 如何高效掃描SQL注入漏洞： * 掃描速度：多線程，高并發，分布式 * 掃描結果準確度：收集cms注入漏洞的POC，在掃描時通過指紋識別和POC相結合 # 其他： * Prestatement和statement的區別：前者對批量處理可以提高效率，后者每次執行SQL語句都需要編譯 * 預編譯能完全防止SQL注入嗎：一般情況下，能（但是生活中的情況的復雜度，呵呵） * order by舉例：查詢文章標題為“安全”的文章并根據閱讀量或者ID排序，select * from article where title = '安全' order by # asc，這里readVolume不是查詢參數，無法使用預編譯機制，只能這樣拼接select * from article where title = '安全' order by $ asc。針對這種情況研發人員可以在java層面做映射進行解決。如當在根據閱讀量或者ID排序時，我們可以限制用戶只能輸入0和1，當用戶輸入0時，我們在代碼層面將其映射為readVolume，當用戶輸入1時，將其映射為id。當用戶輸入0和1以外的內容時，可以將其轉換為默認排序方式。 # 其他鏈接： * http://www.anyun.org/a/jishuguanzhu/wangluoanquan/2017/0602/8685.html