Java预防SQL注入的具体实践方法
1. 强制使用 PreparedStatement(参数化查询)
原理:将 SQL 语句结构与用户输入数据分离,确保输入内容始终作为“数据”处理,而非可执行的代码。
正确示例:
String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
try (Connection conn = dataSource.getConnection();
PreparedStatement pstmt = conn.prepareStatement(sql)) {
pstmt.setString(1, username); // 自动转义特殊字符(如 ' -> \')
pstmt.setString(2, password);
try (ResultSet rs = pstmt.executeQuery()) {
// 处理结果
}
}
错误做法(高危!):
// 直接拼接 SQL(存在注入风险!) String sql = "SELECT * FROM users WHERE username = '" + username + "'"; Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery(sql);
2. 使用 ORM 框架(如 Hibernate/JPA)
ORM 框架会自动生成参数化查询,减少手写 SQL 的注入风险。
Hibernate 示例:
// 使用 Hibernate Criteria API
CriteriaBuilder cb = session.getCriteriaBuilder();
CriteriaQuery<User> query = cb.createQuery(User.class);
Root<User> root = query.from(User.class);
query.where(
cb.equal(root.get("username"), username),
cb.equal(root.get("password"), password)
);
User user = session.createQuery(query).uniqueResult();
HQL 参数化:
String hql = "FROM User WHERE username = :username";
Query<User> query = session.createQuery(hql, User.class);
query.setParameter("username", username);
User user = query.uniqueResult();
3. 输入验证与过滤
白名单校验:
// 校验用户名是否符合规则(仅允许字母、数字、下划线)
if (!username.matches("^[a-zA-Z0-9_]{4,20}$")) {
throw new IllegalArgumentException("Invalid username");
}
转义特殊字符(备用方案):
如果必须拼接 SQL(如动态表名),需严格过滤:
// 使用 Apache Commons Text 转义 String safeInput = StringEscapeUtils.escapeSql(input); // 仅适用于简单场景,不推荐依赖!
4. 避免动态拼接 SQL
高危场景:动态表名、列名等无法通过 PreparedStatement 参数化。
安全做法:使用白名单校验合法值:
// 动态表名校验(只允许预定义的合法表名)
Set<String> validTables = Set.of("users", "products");
if (!validTables.contains(tableName)) {
throw new IllegalArgumentException("Invalid table name");
}
String sql = "SELECT * FROM " + tableName; // 此时拼接是安全的
5. 数据库配置与权限
最小权限原则:应用使用的数据库账号应仅拥有
SELECT、INSERT、UPDATE等必要权限,禁止DROP、GRANT等高危操作。禁用敏感函数:如 MySQL 的
LOAD_FILE、INTO OUTFILE。
6. 其他安全措施
隐藏错误信息:
try {
// 执行数据库操作
} catch (SQLException e) {
// 生产环境返回通用错误,避免泄露细节
logger.error("Database error", e);
throw new RuntimeException("Internal server error");
}
使用安全工具:
OWASP ESAPI:提供安全的 SQL 转义方法。
SQL 注入扫描工具:集成
sqlmap或SonarQube进行代码审计。
总结:Java 防御 SQL 注入的核心规则
场景
安全做法
高风险做法(避免!)
执行 SQL 查询
使用 PreparedStatement 参数化
拼接字符串生成 SQL
动态表名/列名
白名单校验合法值
直接拼接用户输入
输入验证
正则表达式白名单过滤
仅在前端验证或不做验证
错误信息处理
记录日志,返回通用错误提示
返回详细数据库错误信息
ORM 框架
优先使用 Hibernate/JPA 的 Criteria 或 HQL
手动拼接 HQL 或 JPQL
关键点:
绝不信任用户输入:所有外部输入(包括 HTTP 请求参数、Cookie、Headers)均需验证和转义。
代码审查:定期检查项目中是否存在
Statement或字符串拼接 SQL 的代码。依赖更新:确保数据库驱动和 ORM 框架保持最新版本,修复已知漏洞。
以上就是Java预防SQL注入的具体实践方法的详细内容,更多关于Java预防SQL注入的资料请关注脚本之家其它相关文章!
相关文章
无论从设计上还是实现上,Logback相对log4j而言有了相对多的改进。所以下面这篇文章主要给大家介绍了关于如何将应用的log4j换成logback的相关资料,文中介绍的很详细,需要的朋友可以参考下。2017-02-02
Spring Boot 整合 Mockito提升Java单元测试的高效实践案例
Mockito与Spring Boot的整合为Java开发者提供了一套完整的解决方案,使得单元测试更为精准、高效,从而确保了代码质量、降低了维护成本,并促进了项目的持续集成与交付,感兴趣的朋友跟随小编一起看看吧2024-04-04
这篇文章主要介绍了Java基础知识之Java语言概述,本文介绍了Java语言相关的基础知识、历史介绍、主要应用方向等内容,需要的朋友可以参考下2015-03-03
这篇文章主要为大家详细介绍了Java swing实现音乐播放器桌面歌词字体变色效果,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2019-06-06
Servlet是JavaWeb应用程序中不可或缺的组件之一,本文主要介绍了IDEA创建Servlet程序的两种实现方法,具有一定的参考价值,感兴趣的可以了解一下2023-10-10
SpringBoot2.x入门教程之引入jdbc模块与JdbcTemplate简单使用方法
这篇文章主要介绍了SpringBoot2.x入门教程之引入jdbc模块与JdbcTemplate简单使用方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-07-07
这篇文章主要介绍了mybatis 加载配置文件的方法,通过实例代码给大家介绍了mybatis 加载配置文件的两种方式,需要的朋友可以参考下2017-12-12
这篇文章主要介绍了Java使用Condition控制线程通信的方法,结合实例形式分析了使用Condition类同步检测控制线程通信的相关操作技巧,需要的朋友可以参考下2019-09-09
这篇文章主要为大家详细介绍了springboot结合vue2实现微信扫码登录的完整方法,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下2026-02-02
这篇文章主要介绍了java并发分段锁实践代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2019-07-07
最新评论