ReadyStatements는 SQL 주입 공격으로부터 Java 애플리케이션을 어떻게 보호할 수 있습니까?

Java 프로그램의 SQL 주입 방지

SQL 주입 공격을 방지하는 것은 데이터베이스와 상호 작용하는 Java 프로그램에서 매우 중요합니다. SQL 주입 공격은 신뢰할 수 없는 입력이 SQL 쿼리에 삽입될 때 발생하며, 이를 통해 공격자는 악성 코드를 실행하거나 데이터를 조작할 수 있습니다.

데이터베이스 테이블에 데이터를 삽입하는 다음 Java 코드를 고려해 보세요.

String insert =
    "INSERT INTO customer(name,address,email) VALUES('" + name + "','" + addre + "','" + email + "');";

이 코드는 값이 쿼리에 직접 삽입되기 때문에 SQL 주입 공격에 취약합니다. 예를 들어 공격자는 이름으로 다음 문자열을 입력할 수 있습니다.

DROP TABLE customer;

이렇게 하면 전체 고객 테이블이 삭제됩니다.

이러한 공격을 방지하려면 preparedStatement를 사용하세요. PreparedStatement 객체는 쿼리 매개변수에 대한 자리 표시자를 사용하며 나중에 채워집니다. 이렇게 분리하면 신뢰할 수 없는 입력이 쿼리에 직접 삽입되는 것을 방지할 수 있습니다.

다음 코드는 ReadyStatement의 사용을 보여줍니다.

String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);

ResultSet rs = ps.executeQuery();

이 코드는 값이 별도로 설정되므로 SQL 삽입으로부터 보호됩니다. 쿼리에서. 공격자는 더 이상 악의적인 입력을 삽입하여 쿼리의 의도를 변경할 수 없습니다.

위 내용은 ReadyStatements는 SQL 주입 공격으로부터 Java 애플리케이션을 어떻게 보호할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!