为什么动态拼装SQL会导致注入漏洞_转用数据库驱动原生参数化接口

为什么动态拼装SQL会导致注入漏洞？转用数据库驱动原生参数化接口

先明确一个核心结论：在应用层手动拼接SQL字符串，本质上等同于把数据库的“钥匙”直接交给了潜在的攻击者。 为什么这么说？因为这种操作模糊了“代码”与“数据”的边界，数据库引擎收到拼接好的完整语句后，根本无法分辨哪些是预设的指令，哪些是用户输入的内容。而参数化查询（例如JDBC的PreparedStatement或MyBatis的#{}）则从机制上将两者彻底分离，从而在根源上切断了SQL注入的路径。

长期稳定更新的攒劲资源： >>>点此立即查看<<<

说得直白点，直接拼装SQL（无论是用+号、format()、StringBuilder，还是MyBatis的${}），都会让用户输入直接混入SQL的语法结构里。一旦输入中包含了像单引号'、永真条件or 1=1或是注释符--这类特殊字符，它们就很可能被数据库误认为是合法的指令并执行——这正是所有SQL注入漏洞的根源。而切换到数据库驱动原生的参数化接口，正是为了解决这个根本性的混淆问题。

为什么字符串拼接等同于把枪交给攻击者

关键在于理解数据库的“视角”。当你进行字符串拼接时，SQL模板和用户输入在应用服务器的内存中就已经合并成了一条完整的字符串，然后才被发送给数据库。数据库看到的只是一个“成品”命令，它不会、也没有能力去回溯解析哪部分是字段名，哪部分是用户提供的值，只会老老实实地按照SQL语法去执行。

来看一个典型的例子：

String sql = "SELECT * FROM user WHERE name = '" + userName + "'";

如果此时userName的值为"admin' --"，那么最终数据库执行的语句就变成了：

SELECT * FROM user WHERE name = 'admin' --'

看到了吗？注释符--之后的所有内容都被数据库忽略，原本的密码校验逻辑被完全绕过，攻击者可能就这样轻松登录了系统。

• 所有拼接方式，无论是+、String.format、StringBuilder.append，还是MyBatis的${}，其本质都是一样的：在应用层完成字符串合并。
• 不要试图用简单的过滤来弥补，比如replaceAll("'", "''")。这种方法极其脆弱，很容易通过注释符/**/、编码转换或大小写变种等方式被绕过。
• 更危险的是，像MySQL 5.7及以上版本在默认配置下支持多语句执行（allowMultiQueries=true），字符串拼接还可能引发危害更大的“堆叠注入”，允许攻击者执行任意多条SQL语句。

PreparedStatement 是怎么做到安全的

参数化查询的安全魔法，在于它引入了一个清晰的“分工”机制。以PreparedStatement为例，整个过程分为两步：

1. 预编译结构：先将带有问号占位符的SQL模板发送给数据库。数据库会解析这个模板，确定其语法结构，并生成执行计划。
2. 绑定参数：再通过setString(1, value)、setInt(2, value)等方法，将具体的参数值单独传递过去。数据库驱动会严格按照指定的数据类型进行绑定。

这样一来，数据库自始至终都清楚地知道：“这个位置是一个字符串类型的值，它绝不是表名、字段名，更不可能是另一段子查询。”

• 参数值完全不会参与SQL的语法解析。即使值里面包含了分号;、UNION、SELECT这些关键字，在数据库看来，它们也只是一串普通的字符文本而已。
• 不同的数据库驱动在底层对setXxx()方法做了充分适配。例如，绑定一个DATE类型时，驱动会自动处理日期格式，开发者无需操心。
• 这也是MyBatis中#{}符号安全的根本原因——它的底层实现就是调用了PreparedStatement对应的setXxx()方法，而绝非简单的字符串替换。

哪些地方容易误用拼接而漏掉参数化

实践中，开发者常常因为“#{}在这里用不了”而无奈退回到${}或手动拼接。但很多时候，这只是因为没找到正确的参数化写法，或者误解了使用场景。

• 表名、列名、排序方向（ASC/DESC）：比如动态排序语句ORDER BY ${sortField} ${sortOrder}。这些属于SQL语法关键字本身，不能加引号，而#{}会默认给字符串值加上引号，导致语法错误。正确的做法是：建立白名单，对前端传入的字段名进行严格校验，只有通过校验的才允许拼接，绝不能直接透传。
• IN子句的动态长度：查询条件如WHERE id IN (, , )，占位符数量需要动态生成。硬编码#{id1}, #{id2}不现实。解决方案是使用MyBatis的标签动态生成多个占位符，或者利用数据库特性（如PostgreSQL的WHERE id = ANY()配合数组参数）。
• JDBC工具脚本：一些运维或数据迁移用的Ja va脚本（如DataMerge.ja va），如果还在使用古老的Statement.execute(sql)，就会成为高危漏洞的隐蔽入口。这类代码必须统一升级为PreparedStatement + 参数绑定的模式。

MyBatis 中 ${} 的 3 种合法场景及防护姿势

必须澄清一点：${}本身并非“原罪”，问题关键在于它的值是否完全可控、绝对可信。它只应该用在用户输入完全无法影响的上下文中。

• 动态分表名：例如按月份分表user_${dateSuffix}，这里的dateSuffix必须由服务端根据当前时间计算得出（如LocalDateTime.now().format("yyyyMM")），而不能来自任何请求参数。
• 固定枚举字段：比如排序字段只允许是"create_time"或"status"。可以先将前端参数通过Enum.valueOf()转换为枚举，再用枚举值进行拼接。非法值在转换阶段就会抛出异常，无法进入SQL。
• 数据库专属关键字：像MySQL的FOR UPDATE或LOCK IN SHARE MODE这类完整的SQL片段，应该直接写在XML映射文件中，作为固定文本，不接收任何外部输入。

需要警惕的是：只要${}中的内容涉及任何用户可控的输入（URL参数、请求体JSON、Header值），就必须坚决拒绝使用。哪怕你觉得自己已经做了正则过滤，其安全性也远不及参数化查询来得彻底。在安全领域，最危险的往往不是不懂原理，而是那种“我已经处理过了，应该没问题”的侥幸心理。