不使用预准备语句删除SQL注入

哈。不幸的是，它几乎总是取决于货币和管理决策，但“非常乏味”通常不被认为是一个有效的工程问题——它只是适当重构代码的借口。

同时，该问题要求非准备语句方法：简而言之，如果您不能将工作卸载到库（例如准备语句），那么唯一的另一种方法是为每个“注入”项目自己做。无论哪种方式，都必须执行检查输入的工作。唯一的问题是它在哪里完成，以及程序员的专业知识是什么使输入验证代码。

例如，考虑一个简单的SELECT语句:

    sql = "SELECT * FROM mytable WHERE id = " + untrustedVar;

为了完整起见，我们可以假设注入示例，其中< code>untrustedVar是类似于< code>1或1或< code>1的字符串；删除表mytable显然，这将导致不必要的行为，对于返回给调用者的所有行，或者现在缺失的数据库表:

SELECT * FROM mytable WHERE id = 1;
DROP mytable;

强制性参考

在这种情况下，您可以让语言语义学至少确保unstrustedVar是一个整数，也许在您的函数定义中：

String[] selectRowById ( int untrustedVar ) { ...

或者如果它是一个字符串，您可以使用正则表达式执行此操作，例如：

Pattern valid_id_re = Pattern.compile('^\d{1,10}$');  // ensure id is between 1 and 10 billion
Matcher m = valid_id_re.matcher( unstrustedVar );
if ( ! m.matches() )
    return null;

但是，如果您有没有任何语法或结构保证的较长输入（例如，web表单文本区域），则需要进行较低级别的字符替换，以转义潜在的错误字符。每个声明。每个变量。每种数据库风格（PostgreSQL、Oracle、MySQL、SQLite等）。这…是一罐蠕虫。

当然，好处是，如果您没有使用准备好的语句，并且还没有人完成避免应用程序SQL注入攻击的工作，那么您除了向上之外别无选择。

与此同时，我敦促，敦促，敦促你重新考虑你对“我们不能因为原因而使用事先准备好的声明”的立场更重要的是，正如戈登·汤普森在下面的评论中正确指出的那样，“无论如何，这将是一项相当大的工作，所以为什么不把它做好，然后结束呢？”

在写了以上内容之后，我突然想到，有些人可能会认为，仅仅写一份准备好的声明就意味着更好的安全性。实际上，它是带有绑定参数的准备好的语句，提高了安全性。例如，可以这样写：

String sql = "SELECT * FROM mytable WHERE id = " + untrustedVar;
PreparedStatment pstmt = dbh.prepareStatement( sql );
return pstmt.executeQuery();

此时，您所做的只是准备一个已经注入恶意代码的语句。相反，考虑参数的实际绑定：

String sql = "SELECT * FROM mytable WHERE id = ?";  // Raw string; never touched by "tainted" variable
PreparedStatment pstmt = dbh.prepareStatement( sql );
pstmt.setObject(1, p);  // Perform the actual binding.
return pstmt.executeQuery();

后一个示例执行两项操作。它首先创建一个已知的安全格式，并将其发送到数据库进行准备。然后，在数据库返回预准备语句的句柄后，我们是否绑定变量，最后执行该语句。