理解和编写防止SQL注入的安全Java代码

原创梦里梦外; 2024-10-08 12:42 46阅读 0赞

在Java中，防止SQL注入通常通过使用预编译语句或者ORM框架（如Hibernate、MyBatis）来实现。

以下是一个简单的示例，展示了如何在Java中使用PreparedStatement来防止SQL注入：

```java
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;

public class SqlInjectionExample {
    private static final String DB_URL = "jdbc:mysql://localhost/test";
    private static final String USER = "username";
    private static final String PASS = "password";

public static void main(String[] args) {
        Connection connection = null;

try {
            // 注册JDBC驱动
            Class.forName("com.mysql.jdbc.Driver");

// 获取数据库连接
            connection = DriverManager.getConnection(DB_URL, USER, PASS));

// 使用预编译语句，防止SQL注入
            String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
            PreparedStatement statement = connection.prepareStatement(sql);
            statement.setString(1, "username"));
            statement.setString(2, "password");
            ResultSet resultSet = statement.executeQuery();

// 处理查询结果
            if (resultSet.next()) {
                System.out.println("User found: " + resultSet.getString("username"));
            }

} catch (Exception e) {
            e.printStackTrace();
        } finally {
            // 关闭数据库连接
            if (connection != null) {
                connection.close();
            }
        }
    }
}
```

这段代码首先注册JDBC驱动，然后通过`DriverManager.getConnection()`获取数据库连接。接着使用PreparedStatement来防止SQL注入，最后关闭数据库连接。