關于JSP防范SQL注入攻擊

SQL注入攻擊的總體思路：
    發(fā)現(xiàn)SQL注入位置；
    判斷服務器類型和后臺數(shù)據(jù)庫類型；
    確定可執(zhí)行情況
    對于有些攻擊者而言，一般會采取sql注入法。下面我也談一下自己關于sql注入法的感悟。
    注入法：
    從理論上說，認證網(wǎng)頁中會有型如：
    select * from admin where username=’XXX’ and password=’YYY’ 的語句，若在正式運行此句之前，如果沒有進行必要的字符過濾，則很容易實施SQL注入。
    如在用戶名文本框內(nèi)輸入：abc’ or 1=1-- 在密碼框內(nèi)輸入：123 則SQL語句變成：
    select * from admin where username=’abc’ or 1=1 and password=’123’ 不管用戶輸入任何用戶名與密碼，此語句永遠都能正確執(zhí)行，用戶輕易騙過系統(tǒng)，獲取合法身份。
    猜解法：
    基本思路是：猜解所有數(shù)據(jù)庫名稱，猜出庫中的每張表名，分析可能是存放用戶名與密碼的表名，猜出表中的每個字段名，猜出表中的每跫鍬寄諶蕁?BR>　　還有一種方式可以獲得你的數(shù)據(jù)庫名和每張表的名。
    就是通過在形如：http://www. .cn/news?id=10’的方式來通過報錯獲得你的數(shù)據(jù)庫名和表名！
    對于jsp而言我們一般采取一下策略來應對：
    1、PreparedStatement
    如果你已經(jīng)是稍有水平開發(fā)者,你就應該始終以PreparedStatement代替Statement.
    以下是幾點原因
    1、代碼的可讀性和可維護性.
    2、PreparedStatement盡可能提高性能.
    3、最重要的一點是極大地提高了安全性.