防止SQL注入的关键是使用PreparedStatement进行参数化查询,避免SQL拼接,结合输入校验、ORM安全用法及数据库最小权限原则,有效降低安全风险。
防止SQL注入是Java后端开发中保障系统安全的重要环节。最有效的方式是避免拼接SQL语句,使用预编译机制和参数化查询。
使用PreparedStatement代替Statement
直接拼接用户输入到SQL语句中极易导致SQL注入。应始终使用PreparedStatement,它会将SQL模板预先编译,用户参数以占位符形式传入,数据库会将其视为纯数据而非代码执行。
- 正确示例:
String sql = "SELECT * FROM users WHERE username = ?";,通过setString(1, username)设置参数 - 禁止拼接:
"SELECT * FROM users WHERE username = '" + username + "'"
对输入进行校验和过滤
即使使用预编译,也应对用户输入做基础验证,降低攻击面。
- 限制字段长度、格式(如邮箱、手机号正则匹配)
- 拒绝包含明显恶意字符的请求(如
' OR '1'='1) - 使用Spring Validation等框架在控制器层校验参数
使用ORM框架并规范调用方式
MyBatis、Hibernate等ORM工具能减少手写SQL的机会,但仍需注意安全用法。
NetShop网店系统
下载
NetShop软件特点介绍: 1、使用ASP.Net(c#)2.0、多层结构开发 2、前台设计不采用任何.NET内置控件读取数据,完全标签化模板处理,加快读取速度3、安全的数据添加删除读取操作,利用存储过程模式彻底防制SQL注入式攻击4、前台架构DIV+CSS兼容IE6,IE7,FF等,有利于搜索引挚收录5、后台内置强大的功能,整合多家网店系统的功能,加以优化。6、支持三种类型的数据库:Acces
立即学习“Java免费学习笔记(深入)”;
- MyBatis中优先使用
#{}而非${},后者会直接拼接字符串 - Hibernate使用Criteria API或JPQL参数化查询,避免原生SQL拼接
- 动态SQL仍需谨慎,确保变量不来自用户输入
最小权限原则与数据库配置
从系统层面限制数据库账户权限,即使发生注入也难以造成严重后果。
- 应用连接数据库的账号不应有
DROP、ALTER等高危权限 - 禁用数据库的堆叠查询(如MySQL的
allowMultiQueries=false) - 生产环境关闭详细错误信息返回,避免泄露表结构
基本上就这些。关键在于养成安全编码习惯,始终坚持参数化查询,不图方便拼接SQL。配合输入校验和权限控制,能有效抵御绝大多数SQL注入风险。
