在软件开发过程中，SQL 注入是一种常见且危险的安全漏洞，攻击者可以通过构造恶意的 SQL 语句来绕过应用程序的安全机制，从而获取、篡改或删除数据库中的数据。而字符串拼接是导致 SQL 注入的一个重要原因。本文将结合实战经验，详细介绍如何防止通过字符串拼接引发的 SQL 注入问题。

一、SQL 注入原理及危害

SQL 注入的原理是攻击者通过在应用程序的输入字段中添加恶意的 SQL 代码，当应用程序将这些输入与 SQL 语句进行字符串拼接并执行时，恶意代码就会被执行。例如，一个简单的登录表单，应用程序可能会使用如下的 SQL 语句进行验证：

String username = request.getParameter("username");
String password = request.getParameter("password");
String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";

如果攻击者在用户名输入框中输入 ' OR '1'='1，密码随意输入，拼接后的 SQL 语句就会变成：

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '随意输入的密码'

由于 '1'='1' 始终为真，所以这个 SQL 语句会返回所有用户记录，攻击者就可以绕过正常的登录验证。

SQL 注入的危害极大，它可能导致数据库中的敏感信息泄露，如用户的个人信息、财务信息等；还可能被用于篡改或删除数据库中的数据，影响业务的正常运行；甚至可能导致整个系统被攻击者控制。

二、字符串拼接引发 SQL 注入的原因

字符串拼接是一种常见的编程方式，它允许我们动态地生成 SQL 语句。但是，当我们直接将用户输入的内容拼接到 SQL 语句中时，就会引入安全风险。因为用户输入的内容可能包含特殊字符，如单引号、分号等，这些字符可以改变 SQL 语句的语义，从而实现注入攻击。

例如，在上面的登录验证示例中，攻击者通过输入包含单引号的内容，破坏了原 SQL 语句的结构，使得恶意代码能够被执行。

三、防止字符串拼接导致 SQL 注入的方法

（一）使用预编译语句（PreparedStatement）

预编译语句是防止 SQL 注入的最有效方法之一。在 Java 中，我们可以使用 PreparedStatement 来实现。PreparedStatement 会对 SQL 语句进行预编译，然后将用户输入的参数作为独立的部分进行处理，从而避免了 SQL 注入的风险。

以下是使用 PreparedStatement 改进后的登录验证代码：

String username = request.getParameter("username");
String password = request.getParameter("password");
String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
Connection conn = DriverManager.getConnection(url, user, password);
PreparedStatement pstmt = conn.prepareStatement(sql);
pstmt.setString(1, username);
pstmt.setString(2, password);
ResultSet rs = pstmt.executeQuery();

在这个代码中，? 是占位符，pstmt.setString() 方法会将用户输入的内容作为参数传递给 SQL 语句，而不是直接拼接。这样，即使用户输入包含特殊字符的内容，也不会影响 SQL 语句的语义。

（二）输入验证和过滤

除了使用预编译语句，我们还可以对用户输入进行验证和过滤。在接收用户输入时，我们可以检查输入的内容是否符合预期的格式和范围，如果不符合，就拒绝该输入。

例如，对于用户名，我们可以要求只包含字母和数字：

String username = request.getParameter("username");
if (!username.matches("[a-zA-Z0-9]+")) {
    // 输入不符合要求，进行相应处理
}

对于特殊字符，我们可以进行过滤，将其替换为安全的字符。例如，将单引号替换为两个单引号：

String input = request.getParameter("input");
input = input.replace("'", "''");

但是，输入验证和过滤不能完全替代预编译语句，因为攻击者可能会找到绕过过滤的方法。

（三）最小权限原则

在数据库操作中，我们应该遵循最小权限原则，即只给应用程序分配完成其功能所需的最小权限。例如，如果应用程序只需要查询数据，就不要给它修改或删除数据的权限。这样，即使发生 SQL 注入攻击，攻击者也无法对数据库造成太大的损害。

在数据库中，我们可以创建不同的用户，并为每个用户分配不同的权限。例如，创建一个只具有查询权限的用户，让应用程序使用该用户连接数据库：

-- 创建一个只具有查询权限的用户
CREATE USER 'query_user'@'localhost' IDENTIFIED BY 'password';
GRANT SELECT ON database_name.* TO 'query_user'@'localhost';

四、实战案例分析

假设我们有一个简单的博客系统，用户可以通过搜索关键字来查找文章。最初的代码可能是这样的：

String keyword = request.getParameter("keyword");
String sql = "SELECT * FROM articles WHERE title LIKE '%" + keyword + "%'";
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery(sql);

这个代码存在 SQL 注入的风险。如果攻击者输入 ' OR 1=1 --，拼接后的 SQL 语句就会变成：

SELECT * FROM articles WHERE title LIKE '%' OR 1=1 -- %'

-- 是 SQL 中的注释符号，后面的内容会被忽略，这样就会返回所有文章记录。

我们可以使用预编译语句来改进这个代码：

String keyword = request.getParameter("keyword");
String sql = "SELECT * FROM articles WHERE title LIKE ?";
PreparedStatement pstmt = conn.prepareStatement(sql);
pstmt.setString(1, "%" + keyword + "%");
ResultSet rs = pstmt.executeQuery();

通过使用预编译语句，我们避免了 SQL 注入的风险，确保了系统的安全性。

五、总结

字符串拼接是导致 SQL 注入的一个重要原因，为了防止 SQL 注入，我们应该尽量避免直接将用户输入的内容拼接到 SQL 语句中。使用预编译语句是最有效的方法，它可以将用户输入作为独立的参数处理，避免了 SQL 注入的风险。同时，我们还可以结合输入验证和过滤、最小权限原则等方法，进一步提高系统的安全性。在实际开发中，我们要时刻关注 SQL 注入的风险，不断完善和优化代码，确保系统的数据安全。