在Java开发中，JDBC（Java Database Connectivity）是用于执行SQL语句的Java API，它为Java开发人员提供了一种标准的方法来与各种关系型数据库进行交互。然而，在使用JDBC过程中，如果不注意防范，很容易遭受SQL注入攻击。SQL注入是一种常见的网络安全漏洞，攻击者通过在应用程序的输入字段中注入恶意的SQL代码，从而绕过应用程序的验证机制，获取、修改或删除数据库中的数据。因此，掌握JDBC防止SQL注入的核心要点至关重要。下面将详细介绍这些核心要点。

1. 理解SQL注入的原理

要防止SQL注入，首先需要理解其原理。SQL注入攻击通常是利用应用程序对用户输入数据处理不当的漏洞。当应用程序直接将用户输入的数据拼接到SQL语句中时，攻击者可以通过构造特殊的输入，改变SQL语句的原意，从而达到攻击的目的。例如，一个简单的登录验证SQL语句：

String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";

如果攻击者在用户名输入框中输入 ' OR '1'='1，密码随意输入，拼接后的SQL语句就会变成：

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '随意输入的密码'

由于 '1'='1' 始终为真，所以这个SQL语句会返回所有用户记录，攻击者就可以绕过登录验证。

2. 使用预编译语句（PreparedStatement）

使用预编译语句是防止SQL注入的最有效方法之一。预编译语句是JDBC提供的一种特殊的SQL语句对象，它允许在执行SQL语句之前先将SQL语句进行编译，然后再将参数传递给编译好的语句。这样，即使攻击者输入恶意的SQL代码，也会被当作普通的参数值处理，而不会改变SQL语句的结构。以下是一个使用预编译语句进行登录验证的示例：

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class LoginExample {
    public static void main(String[] args) {
        String username = "test";
        String password = "test123";
        String url = "jdbc:mysql://localhost:3306/mydb";
        String user = "root";
        String pass = "password";

        try (Connection conn = DriverManager.getConnection(url, user, pass)) {
            String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
            PreparedStatement pstmt = conn.prepareStatement(sql);
            pstmt.setString(1, username);
            pstmt.setString(2, password);
            ResultSet rs = pstmt.executeQuery();
            if (rs.next()) {
                System.out.println("登录成功");
            } else {
                System.out.println("登录失败");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

在上述示例中，使用 ? 作为占位符，然后通过 setString 方法将参数值传递给预编译语句。这样，即使攻击者输入恶意代码，也不会影响SQL语句的结构。

3. 对用户输入进行严格的验证和过滤

除了使用预编译语句，还应该对用户输入进行严格的验证和过滤。在接收用户输入时，应该检查输入的长度、格式等是否符合要求，只允许合法的字符和格式。例如，对于用户名，只允许字母和数字，可以使用正则表达式进行验证：

import java.util.regex.Pattern;

public class InputValidator {
    private static final Pattern USERNAME_PATTERN = Pattern.compile("^[a-zA-Z0-9]+$");

    public static boolean isValidUsername(String username) {
        return USERNAME_PATTERN.matcher(username).matches();
    }
}

在应用程序中使用这个验证方法：

String username = "test123";
if (InputValidator.isValidUsername(username)) {
    // 处理合法的用户名
} else {
    // 提示用户输入不合法
}

同时，对于特殊字符，如单引号、双引号等，应该进行过滤或转义。可以使用一些开源的工具类来完成这个任务，例如Apache Commons Lang库中的 StringEscapeUtils 类。

4. 最小化数据库用户的权限

为了降低SQL注入攻击的风险，应该最小化数据库用户的权限。数据库用户只需要拥有执行必要操作的最小权限，例如，如果一个应用程序只需要查询数据，那么数据库用户只需要拥有查询权限，而不应该拥有添加、更新或删除数据的权限。这样，即使攻击者成功进行了SQL注入，也只能获取有限的数据，而无法对数据库进行重大的破坏。

在创建数据库用户时，可以使用数据库管理工具或SQL语句来设置用户的权限。例如，在MySQL中，可以使用以下语句创建一个只拥有查询权限的用户：

CREATE USER 'readonly_user'@'localhost' IDENTIFIED BY 'password';
GRANT SELECT ON mydb.* TO 'readonly_user'@'localhost';

5. 定期更新和维护数据库及应用程序

数据库和应用程序的安全漏洞可能会随着时间的推移而被发现，因此定期更新和维护数据库及应用程序是非常重要的。数据库厂商会定期发布安全补丁，修复已知的安全漏洞，因此应该及时安装这些补丁。同时，应用程序也应该及时更新，修复可能存在的SQL注入漏洞。

此外，还应该定期对数据库和应用程序进行安全审计，检查是否存在潜在的安全风险。可以使用一些安全审计工具来帮助完成这个任务，例如Nessus、OpenVAS等。

6. 记录和监控数据库操作

记录和监控数据库操作可以帮助及时发现异常的SQL语句和潜在的SQL注入攻击。可以使用数据库的日志功能来记录所有的SQL语句执行情况，包括执行时间、执行结果等。同时，还可以使用一些监控工具来实时监控数据库的活动，当发现异常的SQL语句时，及时发出警报。

例如，在MySQL中，可以通过设置 general_log 参数来开启通用查询日志：

SET GLOBAL general_log = 'ON';
SET GLOBAL log_output = 'FILE';
SET GLOBAL general_log_file = '/var/log/mysql/mysql.log';

这样，所有的SQL语句都会被记录到指定的日志文件中。

7. 教育和培训开发人员

最后，教育和培训开发人员也是防止SQL注入的重要环节。开发人员应该了解SQL注入的原理和危害，掌握防止SQL注入的方法和技巧。公司可以定期组织安全培训，提高开发人员的安全意识和技能水平。同时，在代码审查过程中，也应该重点检查是否存在SQL注入的风险。

总之，掌握JDBC防止SQL注入的核心要点需要从多个方面入手，包括理解SQL注入的原理、使用预编译语句、对用户输入进行严格的验证和过滤、最小化数据库用户的权限、定期更新和维护数据库及应用程序、记录和监控数据库操作以及教育和培训开发人员等。只有综合运用这些方法，才能有效地防止SQL注入攻击，保护数据库的安全。