目录

1、问题

2、原因

3、修改

---

1、问题

代码进行sonar扫描，扫描出存在sql注入问题。 问题代码如下：

//预编译

preparedStatement = conn.prepareStatement(sql);

//参数

initQueryParams(queryParams, preparedStatement);

//查询结果

resultSet = preparedStatement.executeQuery();

2、原因

因为用到了conn.prepareStatement，就感觉已经使用了预编译，应该没有sonar问题。因此找到了质量组申诉误报，然后他们给出结论如下：

（1）sql是接口传的，可能是delete、update影响比较大

（2）sql就算是查询sql，如果sql占位符是 ${}也没有真的实现预编译

如，select *  from test where id = ${id}，其实没有用到预编译

#、$区别

#预编译会替换成？， $直接进行的字符替换。

数据表或者order by后面的动态参数，必须用${},参数用#{}

如：select * from ${test} where id =#{id} order by ${order}

3、修改

（1）增加sql校验，校验sql是select语句

public static SwaggerResultUtil<String> checkSql(String sql, DbType dbType) {// 检测是否有语法错误try {SQLUtils.parseStatements(sql, dbType);SQLStatementParser parser = SQLParserUtils.createSQLStatementParser(sql, dbType);SQLStatement statement = parser.parseStatement();// 只允许查询语句if (!(statement instanceof SQLSelectStatement)) {return SwaggerResultUtil.resultError(ExceptionCodeUtil.PARAM_ERROR_CODE_I4, "必须是select语句");}} catch (Exception e) {log.error("sql有语法错误,错误信息：", e);return SwaggerResultUtil.resultError(ExceptionCodeUtil.PARAM_ERROR_CODE_I4, "sql语法错误：" + e.getMessage());}return SwaggerResultUtil.resultSuccess();
}

（2）sql做替换${}，换成？

根据业务，正常通过页面访问的sql，数据表是写死的，只有参数是动态的，所以用下面替换

sql = sql.replaceAll("\\$\\{\\w*\\}", "?");