服务器被sql注入，有没有什么解决方法？

（简单又有效的方法）PreparedStatement
采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setXXX方法传值即可。
使用好处：
(1).代码的可读性和可维护性.
(2).PreparedStatement尽最大可能提高性能.
(3).最重要的一点是极大地提高了安全性.
原理：
sql注入只对sql语句的准备(编译)过程有破坏作用
而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,
而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.

1、Sql注入是怎么产生的？

WEB开发人员无法保证所有的输入都已经过滤

攻击者利用发送给SQL服务器的输入数据构造可执行的SQL代码

数据库未做相应的安全配置

2、如何寻找Sql注入？

识别web应用中的所有输入点

了解哪些类型的请求会出发异常

检测服务器响应中的异常

3、如何进行SQL注入攻击？

数字注入 

比如：用or 前一个条件不匹配后一个条件完全匹配。比如id = -1 or 1 = 1

字符串注入 

比如：用 ‘ 闭合查询，然后后面添加#，用来将后面的语句注释掉

4、如何预防SQL注入？

严格检查输入变量的类型和格式

过滤和转义特殊字符

利用mysql的预编译机制

5、预编译的相关知识

sql注入只对sql语句的准备(编译)过程有破坏作用，而PreparedStatement已经准备(编译)好了,执行阶段只是把输入串作为数据处理,而不再对sql语句进行解析、准备(编译),因此也就避免了sql注入问题。

什么是预编译语句 

预编译语句PreparedStatement 是java.sql中的一个接口，它是Statement的子接口。通过Statement对象执行SQL语句时，需要将SQL语句发送给DBMS，由DBMS首先进行编译后再执行。预编译语句和Statement不同，在创建PreparedStatement 对象时就指定了SQL语句，该语句立即发送给DBMS进行编译。当该编译语句被执行时，DBMS直接运行编译后的SQL语句，而不需要像其他SQL语句那样首先将其编译。

什么时候使用预编译语句 

一般是在需要反复使用一个SQL语句时才使用预编译语句，预编译语句常常放在一个fo r或者while循环里面使用，通过反复设置参数从而多次使用该SQL语句。为了防止SQL注入漏洞，在某些数据操作中也使用预编译语句。

为什么使用预编译语句 

预编译机制除了在开篇提到的可以防止SQL注入外，还有一下两方面的优点： 

a、提高效率：数据库处理一个SQL语句，需要完成解析SQL语句、检查语法和语义以及生成代码，一般说来，处理时间要比执行语句所需要的时间长。预编译语句在创建的时候已经是将指定的SQL语句发送给了DBMS，完成了解析、检查、编译等工作。因此，当一个SQL语句需要执行多次时，使用预编译语句可以减少处理时间，提高执行效率。 

b、提高代码的可读性和可维护性：将参数与SQL语句分离出来，这样就可以方便对程序的更改和扩展，同样，也可以减少不必要的错误。

6、防止SQL注入以及预编译机制在mybatis中的应用

‘#’ 与 ‘$’区别

动态 SQL是 mybatis 的强大特性之一，也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前，会对 sql 进行动态解析，解析为一个 BoundSql 对象，也是在此处对动态 SQL 进行处理的。 

在动态 SQL 解析阶段，#{ } 和 ${ } 会有不同的表现： 

#{} 解析为一个 JDBC 预编译语句（prepared statement）的参数标记符。 

例如，sqlMap 中如下的 sql 语句

select * from user where name = #{name};

1

解析为：

select * from user where name = ?;

1

一个 #{ } 被解析为一个参数占位符 ? 。 

而，${ } 仅仅为一个纯碎的 string 替换，在动态 SQL 解析阶段将会进行变量替换 

例如，sqlMap 中如下的 sql

select * from user where name = ${name};

1

当我们传递的参数为 “ruhua” 时，上述 sql 的解析为：

select * from user where name = "ruhua";

1

预编译之前的 SQL 语句已经不包含变量 name 了。 

综上所得， ${ } 的变量的替换阶段是在动态 SQL 解析阶段，而 #{ }的变量的替换是在 DBMS 中。

7、mybatis中‘#’ 与 ‘$’的用法

能使用 #{ } 的地方就用 #{ }

首先这是为了性能考虑的，相同的预编译 sql 可以重复利用。 

其次， ${ } 在预编译之前已经被变量替换了，这会存在 sql 注入问题 。例如，如下的 sql，

select * from ${tableName} where name = #{name} 

1

假如，我们的参数 tableName 为 user; delete user; – ，那么 SQL 动态解析阶段之后，预编译之前的 sql 将变为

select * from user; delete user; -- where name = ?;

1

– 之后的语句将作为注释，不起作用，因此本来的一条查询语句偷偷的包含了一个删除表数据的 SQL！ 

2、表名作为变量时，必须使用 ${ } 

这是因为，表名是字符串，使用 sql 占位符替换字符串时会带上单引号 ” ，这会导致 sql 语法错误，例如：

select * from #{tableName} where name = #{name};

1

预编译之后的sql 变为：

select * from ? where name = ?;

1

假设我们传入的参数为 tableName = “user” , name = “ruhua”，那么在占位符进行变量替换后，sql 语句变为

select * from 'user' where name='ruhua';

1

上述 sql 语句是存在语法错误的，表名不能加单引号 ” （注意，反引号 “是可以的）。

8、mybatis sql 动态解析

mybatis 在调用 connection 进行 sql 预编译之前，会对sql语句进行动态解析，动态解析主要包含如下的功能： 

* 占位符的处理 

* 动态sql的处理 

* 参数类型校验