java如何防止sql注入

使用预编译语句（PreparedStatement）

预编译语句是防止SQL注入最有效的方法。通过参数化查询，SQL语句的结构在编译时确定，用户输入仅作为参数传递，不会被解释为SQL代码的一部分。

String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement stmt = connection.prepareStatement(sql);
stmt.setString(1, username);
stmt.setString(2, password);
ResultSet rs = stmt.executeQuery();

输入验证与过滤

对用户输入进行严格的验证，确保其符合预期的格式（如长度、字符类型）。使用正则表达式或白名单机制过滤特殊字符（如单引号、分号）。

if (!username.matches("[a-zA-Z0-9_]+")) {
    throw new IllegalArgumentException("Invalid username");
}

使用ORM框架

ORM（如Hibernate、MyBatis）自动处理参数绑定，减少手动拼接SQL的风险。例如，Hibernate的HQL或JPA的Criteria API会默认转义参数。

@Entity
@Table(name = "users")
public class User {
    @Id
    private String username;
    // Getter and Setter
}

// 使用JPA查询
TypedQuery<User> query = entityManager.createQuery(
    "SELECT u FROM User u WHERE u.username = :username", User.class);
query.setParameter("username", username);

最小权限原则

数据库用户应仅拥有必要的最小权限。避免使用高权限账户（如root）连接应用数据库，限制写操作和敏感表的访问权限。

启用SQL注入防护工具

集成安全工具（如OWASP ESAPI、SQL过滤器）对输入进行额外检查。例如，ESAPI提供编码方法：

String safeInput = ESAPI.encoder().encodeForSQL(new OracleCodec(), userInput);

定期依赖库更新

确保JDBC驱动、ORM框架等依赖库为最新版本，以修复已知的安全漏洞。

日志与监控

记录所有数据库操作日志，监控异常查询模式（如高频失败登录尝试）。结合工具（如Log4j、ELK）分析潜在攻击行为。

代码审查与测试

通过静态代码分析工具（如SonarQube）扫描SQL拼接漏洞，并定期进行渗透测试（如使用SQLMap模拟攻击）。