在当今的软件开发领域，Java 是一种广泛使用的编程语言，而数据库操作则是 Java 应用程序中常见的功能。然而，SQL 注入攻击是数据库安全的一个重大威胁，它可能导致数据泄露、数据被篡改甚至系统被破坏。因此，了解如何在 Java 中防止 SQL 注入是非常重要的。本文将从原理到实战详细介绍 Java 中防止 SQL 注入的方法。

SQL 注入原理

SQL 注入是一种常见的网络攻击手段，攻击者通过在应用程序的输入字段中添加恶意的 SQL 代码，从而改变原本的 SQL 语句的逻辑，达到非法访问或修改数据库的目的。例如，一个简单的登录表单，其 SQL 查询语句可能如下：

String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";

如果攻击者在用户名或密码字段中输入特殊字符，如 ' OR '1'='1，那么最终的 SQL 语句就会变成：

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = ''

由于 '1'='1' 始终为真，这个 SQL 语句会返回所有的用户记录，攻击者就可以绕过正常的登录验证。

Java 中防止 SQL 注入的常见方法

在 Java 中，有多种方法可以防止 SQL 注入，下面将详细介绍几种常见的方法。

使用 PreparedStatement

PreparedStatement 是 Java 中用于执行预编译 SQL 语句的接口，它可以有效防止 SQL 注入。预编译的 SQL 语句会将参数和 SQL 语句的逻辑分开处理，参数会被自动转义，从而避免了恶意 SQL 代码的注入。以下是一个使用 PreparedStatement 的示例：

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class PreparedStatementExample {
    public static void main(String[] args) {
        String url = "jdbc:mysql://localhost:3306/mydb";
        String username = "root";
        String password = "password";
        String inputUsername = "admin";
        String inputPassword = "password";

        try (Connection connection = DriverManager.getConnection(url, username, "password");
             PreparedStatement preparedStatement = connection.prepareStatement(
                     "SELECT * FROM users WHERE username = ? AND password = ?")) {
            preparedStatement.setString(1, inputUsername);
            preparedStatement.setString(2, inputPassword);

            ResultSet resultSet = preparedStatement.executeQuery();
            if (resultSet.next()) {
                System.out.println("Login successful");
            } else {
                System.out.println("Login failed");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

在这个示例中，我们使用 ? 作为占位符，然后通过 setString 方法为占位符设置具体的值。这样，即使输入中包含恶意的 SQL 代码，也会被作为普通的字符串处理，从而避免了 SQL 注入的风险。

输入验证和过滤

除了使用 PreparedStatement，输入验证和过滤也是防止 SQL 注入的重要手段。在接收用户输入时，我们可以对输入进行验证，确保输入符合预期的格式。例如，如果用户输入的是一个整数，我们可以使用正则表达式或 Java 的内置方法进行验证：

import java.util.regex.Pattern;

public class InputValidationExample {
    public static boolean isValidInteger(String input) {
        return Pattern.matches("\\d+", input);
    }

    public static void main(String[] args) {
        String input = "123";
        if (isValidInteger(input)) {
            System.out.println("Valid integer");
        } else {
            System.out.println("Invalid integer");
        }
    }
}

同时，我们还可以对输入进行过滤，去除可能包含的恶意字符。例如，去除输入中的单引号：

public class InputFilteringExample {
    public static String filterInput(String input) {
        return input.replace("'", "");
    }

    public static void main(String[] args) {
        String input = "O'Connor";
        String filteredInput = filterInput(input);
        System.out.println(filteredInput);
    }
}

使用存储过程

存储过程是一组预编译的 SQL 语句，存储在数据库中。使用存储过程可以将 SQL 逻辑封装在数据库端，减少了在 Java 代码中直接拼接 SQL 语句的风险。以下是一个使用存储过程的示例：

import java.sql.CallableStatement;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;

public class StoredProcedureExample {
    public static void main(String[] args) {
        String url = "jdbc:mysql://localhost:3306/mydb";
        String username = "root";
        String password = "password";
        String inputUsername = "admin";
        String inputPassword = "password";

        try (Connection connection = DriverManager.getConnection(url, username, password);
             CallableStatement callableStatement = connection.prepareCall("{call check_login(?, ?)}")) {
            callableStatement.setString(1, inputUsername);
            callableStatement.setString(2, inputPassword);

            ResultSet resultSet = callableStatement.executeQuery();
            if (resultSet.next()) {
                System.out.println("Login successful");
            } else {
                System.out.println("Login failed");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

在这个示例中，我们调用了一个名为 check_login 的存储过程，将用户名和密码作为参数传递给存储过程。存储过程会在数据库端进行验证，避免了在 Java 代码中拼接 SQL 语句。

实战应用

在实际的 Java 项目中，我们可以综合使用上述方法来防止 SQL 注入。例如，在一个 Web 应用程序中，我们可以在前端对用户输入进行初步的验证，然后在后端使用 PreparedStatement 执行 SQL 查询。以下是一个简单的 Spring Boot 应用程序的示例：

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.jdbc.core.JdbcTemplate;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class LoginController {

    @Autowired
    private JdbcTemplate jdbcTemplate;

    @PostMapping("/login")
    public String login(@RequestParam String username, @RequestParam String password) {
        String sql = "SELECT COUNT(*) FROM users WHERE username = ? AND password = ?";
        int count = jdbcTemplate.queryForObject(sql, Integer.class, username, password);
        if (count > 0) {
            return "Login successful";
        } else {
            return "Login failed";
        }
    }
}

在这个示例中，我们使用了 Spring Boot 的 JdbcTemplate 来执行 SQL 查询，JdbcTemplate 内部使用了 PreparedStatement，从而有效防止了 SQL 注入。

总结

SQL 注入是一种严重的安全威胁，在 Java 开发中，我们可以通过使用 PreparedStatement、输入验证和过滤、使用存储过程等方法来防止 SQL 注入。在实际应用中，我们应该综合使用这些方法，确保应用程序的数据库安全。同时，我们还应该定期对应用程序进行安全审计，及时发现和修复潜在的安全漏洞。