如何优雅的防止 sql 注入？

最近遇到一个麻烦，有一个文本框可以输入任何文本。
现在的解决方案是拦截参数里面的敏感符号（-- ‘ 等）和敏感词（ select and 等），但是总觉得不够好。
想请问下如何优雅的防止 sql 注入呢？
非常感谢。

a302800411

2015-11-12 08:55:13 +08:00

执行 SQL 的时候函数用两个参数那种？

cocalrush

2015-11-12 09:01:03 +08:00

@Andy1999 感谢~。现在目前用的是 JAVA （逃）...

mcone

2015-11-12 09:03:00 +08:00

浓浓的知乎装某器官范儿，你这问题风格应该拉去知乎

个人感觉这东西要啥优雅，又没人看得到，管用就行。优雅如不成，被 x 了就不好玩了

cocalrush

2015-11-12 09:03:20 +08:00

@a302800411
@tobyxdd
感谢目前也用了 PreparedStatement... 但是我司觉得还是不够放心 - -！

cocalrush

2015-11-12 09:06:55 +08:00

@mcone 是的，我也是这么想的。
以前都过滤了"and"字符。但是在英文版上老外输"and"不是一般的多。所以造成了误杀很多。现在精简了下，所以上来问下有没更好的方案。
刚刷了知乎回来， bigger 条涨满了没法释放...

echo1937

2015-11-12 09:07:39 +08:00

口口相传 PreparedStatement 可以防注入，多的我也不知道。

gdtv

2015-11-12 09:23:32 +08:00

用了 prepare 就可以了，这个完全不是问题，我担心的是带有危险的 js 脚本或者 xss ，这些才麻烦

winterock

2015-11-12 09:26:55 +08:00

专业的事交给专业的人。
网络攻击这种事情，我只能说防不胜防。
试试知道创宇或者安全宝。

HentaiMew

2015-11-12 09:32:33 +08:00

优雅这个词真的是被用烂了…

xwing

2015-11-12 09:33:47 +08:00

坚决不用 sql 拼接。设置数据库操作权限。如果是 java 的话，为什么不用 ORM ？

zrp1994

2015-11-12 09:36:07 +08:00

base64 加密下？如果不需要查询其中的内容……

virusdefender

2015-11-12 09:37:27 +08:00

字符串过滤只能骗自己

欢迎试试 http://sqlchop.chaitin.com/

cocalrush

2015-11-12 09:52:59 +08:00

@barbery
@echo1937
@gdtv
妥~
XSS 是真麻烦...

cocalrush

2015-11-12 09:56:12 +08:00

@xwing 也有用 ORM 但是有些查询还是得原生 sql

cocalrush

2015-11-12 09:56:53 +08:00

@virusdefender 这个有点意思... 找时间研究下感谢。

thinkmore

2015-11-12 10:17:24 +08:00

最好让用户不能输入自定义 sql ，为什么一定要把 sql 接口暴露给用户呢？
@cocalrush
至于 css 和 js ，一般转义还是能够解决问题的

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/235512

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.