Wie können PreparedStatements Java-Anwendungen vor SQL-Injection-Angriffen schützen?

SQL-Injection-Verhinderung in Java-Programmen

Die Verhinderung von SQL-Injection-Angriffen ist in Java-Programmen, die mit Datenbanken interagieren, von entscheidender Bedeutung. Ein SQL-Injection-Angriff tritt auf, wenn nicht vertrauenswürdige Eingaben in eine SQL-Abfrage eingefügt werden, wodurch Angreifer bösartigen Code ausführen oder Daten manipulieren können.

Stellen Sie sich den folgenden Java-Code vor, der Daten in eine Datenbanktabelle einfügt:

String insert =
    "INSERT INTO customer(name,address,email) VALUES('" + name + "','" + addre + "','" + email + "');";

Dieser Code ist anfällig für SQL-Injection-Angriffe, da die Werte direkt in die Abfrage interpoliert werden. Beispielsweise könnte ein Angreifer die folgende Zeichenfolge als Namen eingeben:

DROP TABLE customer;

Dies würde dazu führen, dass die gesamte Kundentabelle gelöscht wird.

Um diesen Angriff zu verhindern, verwenden Sie PreparedStatement. PreparedStatement-Objekte verwenden Platzhalter für Abfrageparameter, die später ausgefüllt werden. Diese Trennung verhindert, dass nicht vertrauenswürdige Eingaben direkt in die Abfrage interpoliert werden.

Der folgende Code demonstriert die Verwendung von PreparedStatement:

String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);

ResultSet rs = ps.executeQuery();

Dieser Code ist vor SQL-Injection geschützt, da die Werte separat festgelegt werden aus der Abfrage. Angreifer können die Absicht der Abfrage nicht mehr ändern, indem sie böswillige Eingaben einfügen.

Das obige ist der detaillierte Inhalt vonWie können PreparedStatements Java-Anwendungen vor SQL-Injection-Angriffen schützen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!