1. 基本上大家都知道采用sql語句預(yù)編譯和綁定變量，是防御sql注入的最佳方法。但是其中的深層次原因就不見得都理解了。

String sql="select id, no from user where id=?";

PreparedStatement ps=conn.prepareStatement(sql);

ps.setInt(1, id);

ps.executeQuery();

如上所示，就是典型的采用 sql語句預(yù)編譯和綁定變量 。為什么這樣就可以防止sql 注入呢？

其原因就是：采用了PreparedStatement，就會(huì)將sql語句："select id, nofromuserwhere id=?"預(yù)先編譯好，也就是SQL引擎會(huì)預(yù)先進(jìn)行語法分析，產(chǎn)生語法樹，生成執(zhí)行計(jì)劃，也就是說，后面你輸入的參數(shù)，無論你輸入的是什么，都不會(huì)影響該sql語句的 語法結(jié)構(gòu)了，因?yàn)檎Z法分析已經(jīng)完成了，而語法分析主要是分析sql命令，比如 select ,from ,where ,and, or ,order by 等等。所以即使你后面輸入了這些sql命令，也不會(huì)被當(dāng)成sql命令來執(zhí)行了，因?yàn)檫@些sql命令的執(zhí)行， 必須先的通過語法分析，生成執(zhí)行計(jì)劃，既然語法分析已經(jīng)完成，已經(jīng)預(yù)編譯過了，那么后面輸入的參數(shù)，是絕對(duì)不可能作為sql命令來執(zhí)行的，只會(huì)被當(dāng)做字符串字面值參數(shù)。所以sql語句預(yù)編譯可以防御sql注入。

2. 但是不是所有場(chǎng)景都能夠采用 sql語句預(yù)編譯，有一些場(chǎng)景必須的采用 字符串拼接的方式，此時(shí)，我們嚴(yán)格檢查參數(shù)的數(shù)據(jù)類型，還有可以使用一些安全函數(shù)，來方式sql注入。

比如?

String sql = "select id,no from user where id=" + id;

在接收到用戶輸入的參數(shù)時(shí)，我們就嚴(yán)格檢查 id，只能是int型。復(fù)雜情況可以使用正則表達(dá)式來判斷。這樣也是可以防止sql注入的。

安全函數(shù)的使用，比如：

MySQLCodec codec=new MySQLCodec(Mode.STANDARD);

name=ESAPI.encoder().encodeForSQL(codec, name);

String sql="select id,no from user where name="+name;

ESAPI.encoder().encodeForSQL(codec, name)

該函數(shù)會(huì)將 name 中包含的一些特殊字符進(jìn)行編碼，這樣 sql 引擎就不會(huì)將name中的字符串當(dāng)成sql命令來進(jìn)行語法分析了。

注：

實(shí)際項(xiàng)目中，一般我們都是采用各種的框架，比如ibatis, hibernate,mybatis等等。他們一般也默認(rèn)就是sql預(yù)編譯的。對(duì)于ibatis/mybatis，如果使用的是 #{name}形式的，那么就是sql預(yù)編譯，使用 ${name} 就不是sql預(yù)編譯的。

轉(zhuǎn)載自：http://www.cnblogs.com/digdeep/p/4715245.html