在Java Web应用开发中，SQL注入是一种常见且危害极大的安全漏洞。攻击者可以通过构造恶意的SQL语句，绕过应用程序的验证机制，非法获取、修改或删除数据库中的数据。因此，对Java Web应用进行防止SQL注入的安全配置至关重要。本文将详细介绍Java Web应用中防止SQL注入的各种安全配置方法。

1. 使用预编译语句（PreparedStatement）

预编译语句是防止SQL注入的最有效方法之一。在Java中，使用PreparedStatement对象可以将SQL语句和参数分开处理，数据库会对SQL语句进行预编译，参数会被自动转义，从而避免了SQL注入的风险。以下是一个简单的示例：

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class PreparedStatementExample {
    public static void main(String[] args) {
        String url = "jdbc:mysql://localhost:3306/testdb";
        String user = "root";
        String password = "password";

        try (Connection conn = DriverManager.getConnection(url, user, password)) {
            String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
            PreparedStatement pstmt = conn.prepareStatement(sql);
            pstmt.setString(1, "testuser");
            pstmt.setString(2, "testpassword");

            ResultSet rs = pstmt.executeQuery();
            while (rs.next()) {
                System.out.println(rs.getString("username"));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

在上述示例中，"?" 是占位符，通过 "setString" 方法为占位符设置具体的值。这样，即使攻击者输入恶意的SQL语句，也会被当作普通的字符串处理，从而避免了SQL注入。

2. 输入验证和过滤

除了使用预编译语句，对用户输入进行验证和过滤也是防止SQL注入的重要手段。在接收用户输入时，应该对输入进行严格的验证，只允许合法的字符和格式。例如，如果用户输入的是用户名，应该只允许字母、数字和下划线等合法字符。以下是一个简单的输入验证示例：

import java.util.regex.Pattern;

public class InputValidation {
    private static final Pattern USERNAME_PATTERN = Pattern.compile("^[a-zA-Z0-9_]+$");

    public static boolean isValidUsername(String username) {
        return USERNAME_PATTERN.matcher(username).matches();
    }
}

在上述示例中，使用正则表达式 "^[a-zA-Z0-9_]+$" 来验证用户名是否只包含字母、数字和下划线。如果用户输入的用户名不符合这个规则，应该拒绝该输入。

3. 限制数据库用户权限

为了降低SQL注入的风险，应该限制数据库用户的权限。不要使用具有高权限的数据库用户来运行Java Web应用，而是创建一个具有最小权限的用户。例如，如果应用程序只需要查询数据，那么只授予该用户查询权限，而不授予添加、更新或删除数据的权限。以下是一个创建具有最小权限用户的示例：

-- 创建一个新用户
CREATE USER 'webapp_user'@'localhost' IDENTIFIED BY 'password';

-- 授予查询权限
GRANT SELECT ON testdb.* TO 'webapp_user'@'localhost';

-- 刷新权限
FLUSH PRIVILEGES;

在上述示例中，创建了一个名为 "webapp_user" 的用户，并只授予了该用户对 "testdb" 数据库的查询权限。这样，即使攻击者成功进行了SQL注入，也只能获取数据，而无法修改或删除数据。

4. 错误处理和日志记录

合理的错误处理和日志记录可以帮助我们及时发现和处理SQL注入攻击。在Java Web应用中，应该避免将详细的数据库错误信息返回给用户，因为这些信息可能会被攻击者利用。例如，当数据库查询出现错误时，应该返回一个通用的错误信息，而不是具体的SQL错误信息。以下是一个简单的错误处理示例：

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class ErrorHandlingExample {
    public static void main(String[] args) {
        String url = "jdbc:mysql://localhost:3306/testdb";
        String user = "root";
        String password = "password";

        try (Connection conn = DriverManager.getConnection(url, user, password)) {
            String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
            PreparedStatement pstmt = conn.prepareStatement(sql);
            pstmt.setString(1, "testuser");
            pstmt.setString(2, "testpassword");

            ResultSet rs = pstmt.executeQuery();
            while (rs.next()) {
                System.out.println(rs.getString("username"));
            }
        } catch (SQLException e) {
            // 记录错误日志
            System.err.println("Database error occurred: " + e.getMessage());
            // 返回通用的错误信息
            System.out.println("An error occurred. Please try again later.");
        }
    }
}

在上述示例中，当数据库查询出现错误时，将错误信息记录到日志中，并返回一个通用的错误信息给用户。同时，应该定期查看日志，及时发现和处理可能的SQL注入攻击。

5. 使用安全框架

为了简化安全配置和提高应用程序的安全性，可以使用一些成熟的安全框架，如Spring Security。Spring Security提供了一系列的安全功能，包括身份验证、授权和防止SQL注入等。以下是一个简单的Spring Security配置示例：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
           .authorizeRequests()
               .antMatchers("/public/").permitAll()
               .anyRequest().authenticated()
               .and()
           .formLogin()
               .loginPage("/login")
               .permitAll()
               .and()
           .logout()
               .permitAll();

        return http.build();
    }
}

在上述示例中，使用Spring Security配置了一个简单的安全策略，允许访问 "/public" 路径下的资源，其他路径需要进行身份验证。Spring Security还提供了防止SQL注入的功能，通过对用户输入进行过滤和验证，确保应用程序的安全性。

综上所述，防止SQL注入是Java Web应用安全配置的重要组成部分。通过使用预编译语句、输入验证和过滤、限制数据库用户权限、错误处理和日志记录以及使用安全框架等方法，可以有效地防止SQL注入攻击，保护应用程序和数据库的安全。在实际开发中，应该综合使用这些方法，构建一个多层次的安全防护体系，确保Java Web应用的安全性。