在Java开发中，与数据库交互是非常常见的操作，而SQL拼接是实现数据库操作的一种方式。然而，SQL拼接如果处理不当，很容易遭受SQL注入攻击，这会给系统带来严重的安全隐患。本文将为你提供一份关于Java SQL拼接防注入的基础指南，帮助你更好地保障系统的安全。

一、什么是SQL注入攻击

SQL注入攻击是指攻击者通过在应用程序的输入字段中添加恶意的SQL代码，从而改变原本的SQL语句的逻辑，达到非法访问、修改或删除数据库数据的目的。例如，在一个简单的登录表单中，用户输入用户名和密码，应用程序会根据输入的信息拼接SQL语句来验证用户身份。如果没有对用户输入进行有效的过滤，攻击者可能会输入一些特殊的字符来改变SQL语句的执行逻辑。

假设原本的SQL语句是这样的：

String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";

如果攻击者在用户名输入框中输入 ' OR '1'='1，密码随意输入，那么拼接后的SQL语句就会变成：

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '随便输入'

由于 '1'='1' 始终为真，所以这个SQL语句会返回所有的用户记录，攻击者就可以绕过正常的登录验证。

二、Java中常见的SQL拼接方式

在Java中，常见的SQL拼接方式有直接字符串拼接和使用 StringBuilder。

直接字符串拼接

直接字符串拼接是最基础的方式，通过 + 运算符将不同的字符串连接起来。示例代码如下：

String username = "admin";
String password = "123456";
String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";

使用StringBuilder

StringBuilder 是一个可变的字符序列，使用它进行字符串拼接效率更高。示例代码如下：

String username = "admin";
String password = "123456";
StringBuilder sb = new StringBuilder();
sb.append("SELECT * FROM users WHERE username = '");
sb.append(username);
sb.append("' AND password = '");
sb.append(password);
sb.append("'");
String sql = sb.toString();

这两种方式都存在SQL注入的风险，因为它们直接将用户输入拼接到SQL语句中，没有进行任何过滤和转义。

三、防止SQL注入的方法

使用PreparedStatement

PreparedStatement 是 Statement 的子接口，它可以预编译SQL语句，并且使用占位符 ? 来代替实际的参数。示例代码如下：

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class PreventSQLInjection {
    public static void main(String[] args) {
        String username = "admin";
        String password = "123456";
        String url = "jdbc:mysql://localhost:3306/test";
        String user = "root";
        String dbPassword = "root";

        try (Connection conn = DriverManager.getConnection(url, user, dbPassword)) {
            String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
            PreparedStatement pstmt = conn.prepareStatement(sql);
            pstmt.setString(1, username);
            pstmt.setString(2, password);
            ResultSet rs = pstmt.executeQuery();
            if (rs.next()) {
                System.out.println("登录成功");
            } else {
                System.out.println("登录失败");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

使用 PreparedStatement 时，数据库会对SQL语句进行预编译，然后再将参数传递给预编译的语句，这样可以有效地防止SQL注入攻击。因为参数会被当作普通的字符串处理，不会改变SQL语句的逻辑。

输入验证和过滤

除了使用 PreparedStatement，还可以对用户输入进行验证和过滤。例如，在用户输入用户名和密码时，可以检查输入是否只包含合法的字符，如字母、数字和特定的符号。示例代码如下：

import java.util.regex.Pattern;

public class InputValidation {
    private static final Pattern VALID_USERNAME = Pattern.compile("^[a-zA-Z0-9]+$");
    private static final Pattern VALID_PASSWORD = Pattern.compile("^[a-zA-Z0-9@#$%^&+=]+$");

    public static boolean isValidUsername(String username) {
        return VALID_USERNAME.matcher(username).matches();
    }

    public static boolean isValidPassword(String password) {
        return VALID_PASSWORD.matcher(password).matches();
    }
}

在接收用户输入后，先调用这些验证方法进行检查，如果输入不合法，则拒绝处理。

转义特殊字符

如果无法使用 PreparedStatement，可以手动对用户输入中的特殊字符进行转义。例如，将单引号 ' 转义为 \'。示例代码如下：

public class EscapeSpecialCharacters {
    public static String escapeSingleQuote(String input) {
        return input.replace("'", "\\'");
    }
}

在拼接SQL语句之前，调用这个方法对用户输入进行处理。

四、实际应用中的注意事项

代码审查

在开发过程中，要定期进行代码审查，检查是否存在直接拼接SQL语句的情况。如果发现，要及时修改为使用 PreparedStatement。

异常处理

在使用 PreparedStatement 时，要正确处理可能出现的异常，如 SQLException。不要将异常信息直接暴露给用户，以免攻击者通过异常信息获取数据库的相关信息。

数据库权限管理

合理分配数据库用户的权限，避免使用具有过高权限的用户连接数据库。例如，只给应用程序使用的用户分配执行必要操作的权限，如查询、添加、更新等，而不给予删除数据库等危险操作的权限。

五、总结

SQL注入攻击是Java应用程序中常见的安全威胁，通过使用 PreparedStatement、输入验证和过滤、转义特殊字符等方法，可以有效地防止SQL注入攻击。在实际开发中，要养成良好的编程习惯，定期进行代码审查，合理管理数据库权限，以保障系统的安全性。同时，要不断学习和关注最新的安全技术和漏洞信息，及时更新和完善系统的安全防护措施。

希望本文提供的Java SQL拼接防注入基础指南对你有所帮助，让你在开发过程中能够更好地应对SQL注入攻击，保障系统的稳定和安全。