在 Java 中防止 SQL 注入攻击（SQL Injection）的方法

SQL 注入（SQL Injection）是最常见的数据库攻击方式，和其它开发环境一样， Java 也提供了防止 SQL 注入攻击的方法。由于 JDBC 都是基于接口的设计，所以对于不同的数据库，代码基本一样，下面给出一个查询范例：

...
Connection conn = DriverManager.getConnection(url, user, password);
String query = "select * from table_user where user_name=?";
PreparedStatement preState = conn.prepareStatement(query);
preState.setString(1, "aaa");
ResultSet rs = preState.executeQuery();
...

在上面的这一段代码中，我们查询了表 table_user 中字段 user_name 为 "aaa" 的数据，由于采用了参数化查询的方式， JDBC 底层已经防止了 SQL 注入攻击。在 Java 中，对于所有的数据库，参数化查询的方式都和上面类似，区别在于数据库连接字符串。
连接 MySql 数据库，代码如下：

Class.forName("com.mysql.jdbc.Driver");
String url = "jdbc:mysql://127.0.0.1/myDatabase";
String user = "user";
String password = "password";
Connection conn = DriverManager.getConnection(url, user, password);

连接 Oracle 数据库，代码如下：

Class.forName("oracle.jdbc.driver.OracleDriver");
String url = "jdbc:oracle:thin:@127.0.0.1:1521:myOracleSID";
String user = "user";
String password = "password";
Connection conn = DriverManager.getConnection(url, user, password);

连接 MS SQL Server 数据库，代码如下：

Class.forName("com.microsoft.jdbc.sqlserver.SQLServerDriver");
String url = "jdbc:microsoft:sqlserver://127.0.0.1:1433;DatabaseName=myDbName";
String user = "user";
String password = "password";
Connection conn = DriverManager.getConnection(url, user, password);

在上面的代码中，我们分别连接了 MySql, Oracle, MS SQL Server 三种主流数据库。可以看到，在 JDBC 中，对于不同数据库的连接和查询功能的代码基本上相同，对于开发人员非常的友好。