PreparedStatement は SQL インジェクション攻撃から Java アプリケーションをどのように保護できるのでしょうか?

Java プログラムにおける SQL インジェクションの防止

データベースと対話する Java プログラムでは、SQL インジェクション攻撃を防止することが重要です。 SQL インジェクション攻撃は、信頼できない入力が SQL クエリに挿入されると発生し、攻撃者が悪意のあるコードを実行したり、データを操作したりすることを可能にします。

データベース テーブルにデータを挿入する次の Java コードについて考えてみましょう:

String insert =
    "INSERT INTO customer(name,address,email) VALUES('" + name + "','" + addre + "','" + email + "');";

このコードは、値がクエリに直接挿入されるため、SQL インジェクション攻撃に対して脆弱です。たとえば、攻撃者は次の文字列を名前として入力する可能性があります:

DROP TABLE customer;

これにより、customer テーブル全体が削除されます。

この攻撃を防ぐには、PreparedStatement を使用します。 PreparedStatement オブジェクトはクエリ パラメータのプレースホルダを使用し、後で埋められます。この分離により、信頼できない入力がクエリに直接挿入されるのを防ぎます。

次のコードは、PreparedStatement の使用を示しています。

String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);

ResultSet rs = ps.executeQuery();

値が個別に設定されているため、このコードは SQL インジェクションから保護されています。クエリから。攻撃者は悪意のある入力を挿入してクエリの意図を変更できなくなりました。

以上がPreparedStatement は SQL インジェクション攻撃から Java アプリケーションをどのように保護できるのでしょうか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。