Java开发防止SQL注入攻击

在Java编程过程中，防止SQL注入攻击是非常重要的安全措施。以下是常用的防注入攻击措施及其原理：

1. 使用预编译语句（PreparedStatement）

原理：PreparedStatement 是 JDBC 提供的一种接口，它允许 SQL 语句在执行前被预编译。通过使用占位符 ? 来代替参数值，并在执行时动态设置这些参数，可以有效防止恶意输入被解释为 SQL 代码。

String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
try (PreparedStatement pstmt = connection.prepareStatement(sql)) {
    pstmt.setString(1, username);
    pstmt.setString(2, password);
    ResultSet rs = pstmt.executeQuery();
    // 处理结果集
}

2. 参数化查询

原理：与 PreparedStatement 类似，参数化查询确保用户输入的内容不会被直接拼接到 SQL 语句中，而是作为参数传递给数据库引擎处理，从而避免了恶意 SQL 代码的注入。

// 使用 MyBatis 框架
@Select("SELECT * FROM users WHERE username = #{username} AND password = #{password}")
User getUser(String username, String password);

3. 输入验证和清理

原理：对用户输入进行严格的验证和清理，确保输入符合预期格式和范围。例如，检查输入是否包含特殊字符、长度限制等。对于不符合要求的输入，应拒绝处理或进行适当的转换。

public boolean isValidUsername(String username) {
    return username.matches("^[a-zA-Z0-9_]+$"); // 只允许字母、数字和下划线
}

4. 使用 ORM 框架

原理：对象关系映射（ORM）框架如 Hibernate、MyBatis 等，将 Java 对象与数据库表进行映射，自动生成 SQL 语句并处理参数绑定，减少了手动编写 SQL 的机会，从而降低了注入风险。

// 使用 Hibernate
Session session = sessionFactory.openSession();
Transaction tx = session.beginTransaction();
Query query = session.createQuery("from User where username = :username and password = :password");
query.setParameter("username", username);
query.setParameter("password", password);
List<User> users = query.list();
tx.commit();
session.close();

5. 最小权限原则

原理：确保应用程序使用的数据库账户只具备完成任务所需的最小权限。例如，如果只需要读取数据，则只授予 SELECT 权限；如果需要插入数据，则只授予 INSERT 权限。这样即使发生注入攻击，攻击者也无法执行高危操作。

GRANT SELECT ON users TO app_user;

6. 使用存储过程

原理：将复杂的 SQL 操作封装在存储过程中，应用程序只需调用存储过程而无需直接编写 SQL 语句。存储过程由数据库管理员编写和维护，能够更好地控制访问逻辑和安全性。

CREATE PROCEDURE GetUserByUsernameAndPassword(IN p_username VARCHAR(50), IN p_password VARCHAR(50))
BEGIN
    SELECT * FROM users WHERE username = p_username AND password = p_password;
END;

7. 日志记录和监控

原理：记录所有 SQL 查询的日志，并定期审查日志以发现异常模式或潜在的安全威胁。同时，启用数据库的审计功能，监控可疑活动。

log.info("Executing SQL: {}", sql);

通过以上措施，可以有效减少SQL注入攻击的风险，保护应用程序的安全性。