ホームページ >データベース >mysql チュートリアル >PreparedStatement は Java アプリケーションでの SQL インジェクションをどのように防ぐことができますか?
Java アプリケーションの SQL インジェクションの脆弱性を軽減する
データベース クエリの脆弱性を悪用する可能性がある SQL インジェクション攻撃から保護するには、次のことが重要です。適切な消毒技術を採用します。次の Java コード スニペットを考えてみましょう:
String insert = "INSERT INTO customer(name,address,email) VALUES('" + name + "','" + addre + "','" + email + "');";
このコードは、ユーザー入力 (名前、アドレス、電子メール) が検証やサニタイズなしで SQL ステートメントに直接連結されるため、SQL インジェクション攻撃の影響を受けやすくなっています。悪意のある攻撃者は、
DROP TABLE customer;
などの任意の SQL コードを挿入することでこれを悪用する可能性があります。これを防ぐには、SQL 文字列を直接連結する代わりに PreparedStatement を使用することが不可欠です。 PreparedStatement は、パラメータ化されたクエリを実行するための安全なメカニズムを提供します。以下に例を示します。
String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);"; PreparedStatement ps = connection.prepareStatement(insert); ps.setString(1, name); ps.setString(2, addre); ps.setString(3, email); ResultSet rs = ps.executeQuery();
この改訂されたコードは、setString メソッドを使用して、ユーザー入力を対応する SQL パラメーター (挿入文字列内の疑問符で表されます) にバインドします。 SQL クエリをユーザー入力から分離することで、SQL インジェクション攻撃の影響を受けなくなります。ハッカーによって挿入された悪意のあるコードは SQL ステートメント内のリテラル文字列として扱われ、有害なアクションを効果的に防止します。
以上がPreparedStatement は Java アプリケーションでの SQL インジェクションをどのように防ぐことができますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。