java实战:防止SQL注入常用方法及代码示例

最新推荐文章于 2025-03-21 14:33:24 发布
最新推荐文章于 2025-03-21 14:33:24 发布
阅读量2.2k 收藏 16
点赞数 28
文章标签: java sql android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oandy0/article/details/136106508
版权
本文详细介绍了在Java中通过PreparedStatements、ORM框架(如Hibernate、JPA)和MyBatis等工具,利用参数化查询来防止SQL注入的方法,并提供了实际代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文将介绍几种在Java中防止SQL注入的常用方法,并提供详细的代码示例。我们将探讨使用预编译的SQL语句(Prepared Statements)、使用ORM框架、使用SQL模板引擎和参数化查询等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范SQL注入攻击。

一、使用预编译的SQL语句(Prepared Statements)

预编译的SQL语句是防止SQL注入的最有效方法之一。这种方法使用?作为参数占位符,并通过setXXX方法来绑定实际的输入值。这种方式可以确保输入值被正确地处理,从而避免了SQL注入攻击。

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;
public class PreparedStatementExample {
    private static final String URL = "jdbc:mysql://localhost:3306/databasename";
    private static final String USER = "username";
    private static final String PASSWORD = "password";
    public void selectUserData(String userId) {
        String sql = "SELECT * FROM users WHERE id = ?";
        try (Connection connection = DriverManager.getConnection(URL, USER, PASSWORD);
             PreparedStatement preparedStatement = connection.prepareStatement(sql)) {
            preparedStatement.setInt(1, Integer.parseInt(userId));
            ResultSet resultSet = preparedStatement.executeQuery();
            while (resultSet.next()) {
                System.out.println("User ID: " + resultSet.getInt("id"));
                System.out.println("Username: " + resultSet.getString("username"));
                // 处理其他字段...
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
    public static void main(String[] args) {
        PreparedStatementExample example = new PreparedStatementExample();
        example.selectUserData("1"); // 正常输入
        example.selectUserData("1' OR '1'='1"); // SQL注入尝试
    }
}

二、使用ORM框架

ORM(Object-Relational Mapping)框架如Hibernate、JPA等,提供了一种更高层次的数据库操作方式。这些框架通常内置了防止SQL注入的功能,因为它们使用参数化查询来执行SQL语句。

import javax.persistence.EntityManager;
import javax.persistence.EntityManagerFactory;
import javax.persistence.Persistence;
public class ORMExample {
    private static EntityManagerFactory entityManagerFactory;
    private static EntityManager entityManager;
    static {
        entityManagerFactory = Persistence.createEntityManagerFactory("your_pu");
        entityManager = entityManagerFactory.createEntityManager();
    }
    public void selectUserData(String userId) {
        String query = "SELECT u FROM users u WHERE u.id = :id";
        TypedQuery<User> query = entityManager.createQuery(query, User.class);
        query.setParameter("id", Integer.parseInt(userId));
        List<User> users = query.getResultList();
        for (User user : users) {
            System.out.println("User ID: " + user.getId());
            System.out.println("Username: " + user.getUsername());
            // 处理其他字段...
        }
    }
    public static void main(String[] args) {
        ORMExample example = new ORMExample();
        example.selectUserData("1"); // 正常输入
        example.selectUserData("1' OR '1'='1"); // SQL注入尝试
    }
}

三、使用SQL模板引擎和参数化查询

import org.apache.ibatis.jdbc.ScriptRunner;
import org.apache.ibatis.session.SqlSession;
import org.apache.ibatis.session.SqlSessionFactory;
public class MyBatisExample {
    private static SqlSessionFactory sqlSessionFactory;
    static {
        sqlSessionFactory = MyBatisUtil.getSqlSessionFactory();
    }
    public void selectUserData(String userId) {
        String sql = "SELECT * FROM users WHERE id = #{id}";
        try (SqlSession session = sqlSessionFactory.openSession()) {
            UserMapper mapper = session.getMapper(UserMapper.class);
            User user = mapper.selectUserById(Integer.parseInt(userId));
            System.out.println("User ID: " + user.getId());
            System.out.println("Username: " + user.getUsername());
            // 处理其他字段...
        }
    }
    public static void main(String[] args) {
        MyBatisExample example = new MyBatisExample();
        example.selectUserData("1"); // 正常输入
        example.selectUserData("1' OR '1'='1"); // SQL注入尝试
    }
}

在这个例子中,我们使用了MyBatis框架,它是一个流行的Java SQL映射框架。在MyBatis中,你可以使用#{parameter}语法来引用参数,MyBatis会自动为你处理参数的转义和引用。

四、总结

本文介绍了几种在Java中防止SQL注入的常用方法,并提供详细的代码示例。我们探讨了使用预编译的SQL语句、ORM框架、SQL模板引擎和参数化查询等方法。每种方法都有其优点和适用场景,但它们都能有效地防止SQL注入攻击。

拥抱AI
关注
常见网络安全攻击类型深度剖析(二):SQL注入攻击——原理、漏洞利用演示与代码加固方法
迷路的小绅士之家
04-25 1842
SQL注入的本质是“将用户输入当作代码执行”的设计缺陷,其危害程度取决于数据库中存储的数据敏感程度。永远不要信任用户输入,即使是表单中的“正常字段”也可能成为攻击入口。通过严格遵循参数化查询、输入验证、最小权限等最佳实践,结合WAF和日志监控,可以将SQL注入的风险降至最低。下一篇文章将聚焦“DDoS攻击”,解析攻击者如何通过海量流量压垮服务器,以及企业应如何构建分布式防御体系。
javasql注入代码
05-11
很强大的防SQL注入,针对JAVA系统 方便使用,作为过滤器使用。
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 6万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
Java 中预防 SQL 注入,从零基础到精通,收藏这篇就够了!
最新发布
韩束一叶子
03-21 1062
场景安全做法高风险做法(避免!执行 SQL 查询使用参数化拼接字符串生成 SQL动态表名/列名白名单校验合法值直接拼接用户输入输入验证正则表达式白名单过滤仅在前端验证或不做验证错误信息处理记录日志,返回通用错误提示返回详细数据库错误信息ORM 框架优先使用 Hibernate/JPA 的 Criteria 或 HQL手动拼接 HQL 或 JPQL关键点绝不信任用户输入:所有外部输入(包括 HTTP 请求参数、Cookie、Headers)均需验证和转义。代码审查。
java防止sql注入
孔子说
09-08 2065
SQL 注入简介:          SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:          比如在一个登陆界面,要求用户输入用户名和密码:          用户名:       or 1=1 --             密       码
java程序防止sql注入方法
jun0052的专栏
01-25 1万+
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。 第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setStrin
Java防止SQL注入
三千弱水的专栏
09-23 4138
Java防止SQL注入 SQL 注入简介:         SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法 用户钻了SQL的空子,下面我们先来看下什么是SQL注入:         比如在一个登陆界面,要求用户输入用户名和密码:         用户名:     ' or 1=1
java中防sql注入_Java防止SQL注入
weixin_42461108的博客
02-27 166
Java防止SQL注入SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:比如在一个登陆界面,要求用户输入用户名和密码:用户名: ' or 1=1 --密 码:点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:String sql="select ...
防止SQL注入:MyBatis实战示例
MyBatis提供了防止SQL注入方法,例如使用预编译语句(PreparedStatement)和参数绑定,确保用户输入的数据不会篡改原始SQL命令。在实例中,可能介绍了如何配置MyBatis以避免SQL注入,包括正确使用占位符,以及在...
瀚高数据库连接安全性实战:防御SQL注入等攻击
[瀚高数据库连接安全性实战:防御SQL注入等攻击](https://img-blog.csdnimg.cn/df2e2c894bea4eb992e5a9b615d79307.png) 参考资源链接:[瀚高数据库专用连接工具hgdbdeveloper使用教程]...
MyBatis安全加固秘籍:防止SQL注入,保障数据安全
首先概述了MyBatis与SQL注入的关系,然后着重介绍了通过安全配置预防SQL注入方法,包括对动态SQL的重构、MyBatis全局和映射文件的安全性设置。接着,本文转向代码实践,探讨了MyBatis与ORM框架
防止sql注入java代码
08-13
该文档整理了防止sql注入java代码,希望对你能有所帮助!
Java防止SQL注入的几个途径
12-14
JavaSQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
java过滤器防sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
JAVA防止SQL注入攻击类的源代码
04-26
JAVA防止SQL注入攻击类的源代码(包含网页版和程序代码两部分)
Java连接数据库实战:JDBC操作ORACLE、SQLSERVER、MYSQL示例
- 为了安全起见,应当使用预编译的PreparedStatement,而不是直接在SQL语句中拼接用户输入,以防止SQL注入攻击。 - 考虑使用连接池来管理数据库连接,提高性能和资源利用率。 以上就是对JDBC连接ORACLE、SQL ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值