SQL注入是一种代码注入技术，攻击者通过在应用程序中输入恶意的SQL代码来操纵后端数据库。

当应用程序使用用户输入直接构建SQL查询时，如果没有正确地处理这些输入，就可能让攻击者有机会执行非授权的操作。

如查看、修改或删除数据。这不仅会导致敏感信息泄露，还可能造成整个系统的安全风险。

如何防止 SQL 注入？

使用预编译语句（Prepared Statements）

预编译语句是预防SQL注入最有效的方法之一。它们允许你将参数与SQL命令分开发送给数据库服务器，从而避免了直接拼接用户提供的值到SQL语句中带来的风险。

示例代码：

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

public class SafeQueryExample {
    public static void main(String[] args) {
        String url = "jdbc:mysql://localhost:3306/mydatabase";
        String username = "user";
        String password = "pass";

        try (Connection conn = DriverManager.getConnection(url, username, password)) {
            // 假设我们想要根据用户名查找用户
            String userInput = "admin' OR '1'='1";  // 用户输入可能是这样的恶意输入
            String sql = "SELECT * FROM users WHERE username = ?";

            try (PreparedStatement pstmt = conn.prepareStatement(sql)) {
                // 设置参数值
                pstmt.setString(1, userInput);
                
                // 执行查询
                ResultSet rs = pstmt.executeQuery();
                
                while (rs.next()) {
                    System.out.println(rs.getString("username"));
                }
            } catch (Exception e) {
                e.printStackTrace();
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

在这个例子中，即使userInput包含恶意内容，由于使用了PreparedStatement，该输入会被当作普通字符串处理而不是作为SQL的一部分被执行。

参数化查询

除了预编译语句外，许多现代ORM框架如Hibernate、MyBatis等也支持参数化查询，这种方式同样能够有效地防御SQL注入攻击。

示例代码 - Hibernate：

Session session = sessionFactory.openSession();
Transaction tx = null;
try {
    tx = session.beginTransaction();
    
    // 安全地绑定参数
    Query query = session.createQuery("FROM User u WHERE u.username = :username");
    query.setParameter("username", userInput);
    
    List<User> results = query.list();
    for (User user : results) {
        System.out.println(user.getUsername());
    }

    tx.commit();
} catch (RuntimeException e) {
    if (tx != null) tx.rollback();
    throw e;
} finally {
    session.close();
}

这里使用了命名参数:username来代替直接插入变量值，确保了即使用户提供了特殊字符也不会影响查询逻辑。

输入验证

对所有来自用户的输入进行严格的验证也是非常重要的。比如限制长度、只允许特定字符集等措施可以减少被注入的风险。

但是要注意的是，仅仅依赖于输入验证并不足够；它应该作为其他防护措施的一个补充手段。

示例代码 - 简单的输入过滤：

public boolean isValidUsername(String username) {
    // 正则表达式用于匹配仅包含字母数字和下划线的用户名
    return username.matches("[a-zA-Z0-9_]+");
}

// 在实际应用中调用此方法检查用户输入
if (!isValidUsername(userInput)) {
    throw new IllegalArgumentException("Invalid username.");
}

数据库层面的安全设置

配置数据库权限也是防范SQL注入的重要一环。例如，不要以管理员身份运行Web应用所连接的数据库账户，并且只为每个应用分配最小必需的访问权限。

日常开发中的建议及注意点

• 始终使用预编译语句或参数化查询：这是最基本也是最重要的原则。
• 定期审查代码：寻找潜在的安全漏洞并及时修复。
• 启用日志记录：对于异常情况下的SQL执行情况进行记录，有助于事后分析问题所在。
• 保持软件更新：及时升级使用的数据库驱动程序和其他相关库至最新版本。
• 教育团队成员：提高大家对于安全编程的认识，共同维护项目的安全性。

遵循以上实践可以帮助显著降低遭受SQL注入攻击的风险。记住，安全性是一个持续的过程，需要不断地评估和改进。