如何防止sql注入

预处理，将参数和查询分开

显然大家都知道参数化。那怎样才能做好参数化？如果你的查询不是复杂到非字符串构造sql不可（譬如递归或者动态层次的join），那几乎所有情况都可以使用下列方法解决：

1、SQLServer把数据跟stored procedure放在一起。其实这样还能起到数据和封装同步的作用，不需要两头改。在schema发生变化的时候，整个update都可以做transaction。
2、客户端（或者你的网站）只访问stored procedure。
3、只给你的客户端打开execute权限，这样它只能访问stored procedure。

使用stored procedure基本就等于让数据库来帮你做参数化，所以你不会犯任何错误。而且这个方法并不会在你需要字符串构造sql的时候发生问题，因为stored procedure里面也可以构造sql，而且做起这种sql构造的参数化也特别方便。

所有的注入问题都自动解决了。

我想，既然你已经了解到网站可能存在注入漏洞的危险，那么你一定已经了解注入的原理；因此，我觉得要是你不希望自己去考虑该怎么去过滤那些复杂精辟的注入语句的话，我觉得最好的方法是使用ORM，而不是使用老一套数据库查询方式！如果你使用的是java写后台的话，那么Hibernate会是比较值得尝试的框架！

1. 对输入进行转义

2. 使用orm框架

1. 尽量不要直接用获取到的数据拼接sql进行数据库访问

2. 如果有用框架的话，如Struts可以自定义拦截器进行拦截

3. 使用ORM框架

菜鸟过来答一答:举个简单的sql注入的方式

//接收参数
String user=getParam(request,"user","");
String password=getParam(request,"pswd","");

//拼装sql
String checkSql="select * from user where username='"+user+"' and password ='"+password+"'";

//请求地址
String getUrl="xxx.jsp?user=admin&password=1' or '1'='1";

获取参数合成后的sql变成了
select * from users where userid='admin' and passwd='1' or '1'='1'

这条SQL将会返回所有users数据。也许你的接口就真的把这个user数据给返回过来了。

对sql进行过滤，可以防止

对SQL注入最有效的防止，就是转义输入。

不要相信任何用户录入数据，

一般参数化或者存储过程就ok

可注入的sql：
$id=$_REQUEST['id'];
$name=$_REQUEST['name'];
select * from members where id=$id;
select * from members where id='".$id."'";
select * from members where name='".$name."'";
不可注入：
select * from members where id='".intval($id)."'";
select * from members where name=".sql_escape($name);

过滤用户的输入，限制类型和大小，sql语句参数化。另外也要考虑webservices的参数漏洞。

使用JavaEE的PreparedStatement接口可以很方便的防止SQL注入，各个DataBase厂家的驱动都实现的不错。Druid这个连接池也有帮你过滤SQL，防止注入。jenkins可以配合一些插件，比如findBugs来查找有可能的SQL注入行为。

1/前端输入使用jsoup过滤。jsoup还可以自定义各类过滤规则。
2/使用ibatis之类的orm框架，绑定SQL执行的参数。