当前位置：首页 > news >正文

Java开发中SQL注入防御全解析：从PreparedStatement到MyBatis安全实践

news 2026/6/29 8:31:06

1. 项目概述：为什么SQL注入是Java开发者的必修课？

如果你正在用Java写后端，尤其是和数据库打交道，那么“SQL注入”这个词，你一定不陌生。它就像一个幽灵，时不时在技术社区、面试八股文和漏洞报告中闪现。很多新手觉得，用了PreparedStatement就万事大吉了，但现实往往更复杂。我见过太多项目，代码里看似用了预编译，但因为参数拼接、动态表名、ORDER BY子句处理不当，依然门户大开。这篇文章，我想从一个老码农的角度，跟你彻底聊透在Java里防SQL注入这件事。这不是一篇简单的API使用手册，而是从攻击原理、防御误区、框架特性到实战排查的完整防线构建指南。无论你是刚学完JDBC的初学者，还是被“如何防止SQL注入”这道面试题问过无数次的中高级开发者，收藏这篇，都能帮你把脑子里零散的知识点串成一张坚固的防御网。

2. SQL注入核心原理与Java中的典型漏洞场景

要防御，必须先透彻理解攻击是如何发生的。SQL注入的本质，是攻击者将恶意构造的SQL代码“注入”到应用程序原本要执行的SQL查询语句中，从而欺骗数据库服务器执行非预期的命令。

2.1 注入原理的“字符串拼接”本质

所有SQL注入的根源，几乎都可以追溯到“字符串拼接”。我们来看一个最经典的、错误示范的登录验证代码：

// 错误示例：字符串拼接，注入漏洞重灾区 String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sql);

如果用户输入的username是admin' --，password随意输入（比如123），那么最终拼接出的SQL语句会变成：

SELECT * FROM users WHERE username = 'admin' --' AND password = '123'

在SQL中，--是单行注释符。这意味着，--之后的所有内容都被数据库忽略。于是，这条查询的实际效果变成了：SELECT * FROM users WHERE username = 'admin'。攻击者无需知道密码，就能以管理员身份登录。

更危险的攻击是“联合查询注入”或“堆叠查询注入”。例如，输入username为：admin'; DROP TABLE users; --。拼接后的SQL为：

SELECT * FROM users WHERE username = 'admin'; DROP TABLE users; --' AND password = '...'

数据库会依次执行两条语句：先查询，然后直接删除users表，造成灾难性后果。

注意：Statement接口的execute、executeQuery、executeUpdate等方法，如果直接拼接用户输入，就是为SQL注入打开了大门。这是绝对禁止的写法。

2.2 Java中容易被忽略的“伪安全”场景

很多开发者知道不能用Statement拼接，转而使用PreparedStatement，但依然会踩坑。以下是一些常见的“伪安全”场景：

在PreparedStatement中错误地拼接SQL片段：这是最隐蔽的坑。预编译占位符?只能用于值的位置，不能用于表名、列名、SQL关键字。

// 错误！动态表名拼接依然会导致注入 String tableName = request.getParameter("table"); // 假设用户输入 `users; DELETE FROM orders --` String sql = "SELECT * FROM " + tableName + " WHERE id = ?"; PreparedStatement pstmt = connection.prepareStatement(sql); // 这里拼接时，注入就已经发生了！ pstmt.setInt(1, userId);

攻击者可以通过控制tableName参数，注入任何SQL语句。正确的做法是对表名、列名进行白名单校验。

LIKE子句中的通配符处理不当：使用PreparedStatement设置LIKE参数时，如果用户输入包含%或_，这些字符在SQL中是通配符，可能导致查询结果超出预期（虽然这不一定是“注入”，但属于安全漏洞）。
```
String userInput = "%admin%"; // 用户可能想搜索包含“admin”的记录 String sql = "SELECT * FROM users WHERE username LIKE ?"; PreparedStatement pstmt = connection.prepareStatement(sql); pstmt.setString(1, userInput); // 直接设置，会匹配所有包含‘admin’的用户名，可能泄露过多信息。
```
如果业务上不允许用户使用通配符，就需要在接收输入时进行转义或过滤。

IN语句的参数动态生成：当IN子句中的列表项数量动态变化时，新手容易犯错。

// 错误示例：动态拼接IN列表 List<String> ids = getIdsFromRequest(); // 用户可控的ID列表 String sql = "SELECT * FROM products WHERE id IN (" + String.join(",", ids) + ")"; // 如果ids包含 `1); DELETE FROM products --`，则注入成功。

正确做法是为每个参数使用单独的占位符，或使用某些框架（如MyBatis）的动态SQL功能安全处理。

3. 从基础到进阶：构建多层防御体系

防御SQL注入不是单一技术，而是一个体系。我们需要在多个层面建立防线。

3.1 第一道防线：正确使用PreparedStatement（参数化查询）

这是最基本、最有效、也是必须掌握的手段。PreparedStatement的原理是将SQL语句的结构（模板）与数据（参数）分开发送数据库。

// 正确示例：使用PreparedStatement String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; PreparedStatement pstmt = connection.prepareStatement(sql); pstmt.setString(1, username); // 设置第一个参数 pstmt.setString(2, password); // 设置第二个参数 ResultSet rs = pstmt.executeQuery();

关键原理：当调用pstmt.setString(1, username)时，JDBC驱动会负责对参数进行适当的转义和处理（例如，将单引号'转义为\'），然后将处理后的参数值发送给数据库。数据库引擎收到的是预编译的SQL模板和分离的参数值，因此无论参数值里包含什么SQL关键字或特殊字符，都会被当作纯粹的数据来处理，而不会被解释为代码。

实操心得：

连接池配置：在生产环境中，使用如HikariCP、Druid等连接池时，确保开启PreparedStatement缓存（prepStmtCacheSize等参数）。这能避免相同SQL模板的重复编译，提升性能，同时不牺牲安全性。
参数类型匹配：务必使用与数据库字段类型匹配的setXxx方法。setString用于字符串，setInt用于整数，setDate用于日期等。错误的类型设置可能导致隐式类型转换，在某些边缘场景下引发问题。

3.2 第二道防线：ORM框架的安全使用（MyBatis/JPA Hibernate）

现代Java开发很少直接写JDBC，更多使用ORM框架。框架本身提供了防护，但使用不当同样危险。

MyBatis的安全写法： MyBatis的#{}语法是安全的，它会创建预编译语句。而${}是字符串替换，是危险的。

<!-- 安全写法：使用 #{} --> <select id="selectUser" resultType="User"> SELECT * FROM users WHERE username = #{username} </select> <!-- 危险写法：使用 ${} 进行值替换 --> <select id="selectUserUnsafe" resultType="User"> SELECT * FROM users WHERE username = '${username}' </select> <!-- ${} 的合理使用场景：动态表名、列名（需结合白名单） --> <select id="selectFromDynamicTable" resultType="map"> SELECT * FROM ${tableName} <where> <!-- 动态表名需严格校验 --> <if test="orderBy != null"> ORDER BY ${orderBy} <!-- 动态排序字段，同样需要校验 --> </if> </where> </select>

JPA (Hibernate) 的安全写法： JPA使用JPQL或Criteria API，它们默认是参数化的。

// 使用位置参数（安全） Query query = em.createQuery("SELECT u FROM User u WHERE u.username = ?1"); query.setParameter(1, username); // 使用命名参数（更安全，推荐） TypedQuery<User> query = em.createQuery("SELECT u FROM User u WHERE u.username = :uname", User.class); query.setParameter("uname", username); // 原生SQL查询也必须使用参数绑定 Query nativeQuery = em.createNativeQuery("SELECT * FROM users WHERE username = ?"); nativeQuery.setParameter(1, username);

框架使用避坑指南：

MyBatis：代码审查时，要重点检查所有使用${}的地方。除非是动态表名、列名、ORDER BY子句，否则一律改用#{}。对于必须使用${}的场景，必须在业务逻辑层进行严格的白名单校验。
JPA：避免使用字符串拼接来构建JPQL。如果需要非常复杂的动态查询，应使用CriteriaBuilderAPI来以类型安全的方式构建查询。
Like查询：在MyBatis中，如果使用#{}进行LIKE查询，需要在传入参数时手动添加通配符%，或者在XML中使用CONCAT函数。
```
<select id="searchUser"> SELECT * FROM users WHERE username LIKE CONCAT('%', #{keyword}, '%') </select>
```

3.3 第三道防线：输入验证与输出编码

参数化查询是治本之策，但输入验证是重要的补充防线。原则是：在最早的时刻，对数据进行最小化验证。

类型验证：确保数字参数确实是数字，日期参数是合法日期。
格式验证：使用正则表达式验证邮箱、电话、用户名格式（如只允许字母数字）。
长度验证：限制输入字符串的长度，防止超长数据攻击。
业务规则验证：例如，状态字段只能为有限的几个枚举值。

对于动态表名、列名等无法使用预编译占位符的场景，白名单校验是唯一可靠的方法。

// 白名单校验示例：动态排序字段 private static final Set<String> ALLOWED_SORT_FIELDS = Set.of("createTime", "username", "email"); public String buildOrderByClause(String sortBy) { if (!ALLOWED_SORT_FIELDS.contains(sortBy)) { sortBy = "createTime"; // 提供安全的默认值 } return " ORDER BY " + sortBy; }

输出编码主要针对的是XSS（跨站脚本攻击），但对于从数据库查询出的、可能包含用户先前输入的数据，在渲染到前端时进行编码，可以防止“二次注入”在特定上下文中的风险，这是纵深防御的一环。

3.4 第四道防线：运行时防护与安全工具

对于遗留系统或深度防御，可以考虑以下工具：

Web应用防火墙（WAF）：在网络层过滤恶意请求，能拦截常见的SQL注入攻击模式。但它是一种缓解措施，不能替代安全的代码。
RASP（运行时应用自我保护）：以内嵌Agent的形式运行在应用中，监控关键API（如JDBC驱动执行SQL的方法），当检测到疑似注入行为时进行阻断或告警。这对防护未知的、绕过了参数化查询的复杂注入有一定效果。
SQL注入检测工具：
- 代码扫描（SAST）：使用SonarQube、Fortify、Checkmarx等工具扫描源代码，能发现Statement拼接、不安全的${}使用等问题。
- 动态扫描（DAST）：使用Burp Suite、OWASP ZAP、SQLMap等工具对运行中的应用进行渗透测试，模拟攻击行为。

个人建议：工具是辅助，核心还是开发者的安全意识。应将SAST工具集成到CI/CD流水线中，让不安全的代码无法合并到主干。

4. 深入MyBatis动态SQL的安全实践

MyBatis的动态SQL功能强大，但也是安全问题的重灾区。我们来深入几个复杂场景。

4.1 安全实现动态`IN`查询

当查询条件是一个动态的ID列表时，安全的做法是使用<foreach>标签生成多个#{}占位符。

<select id="selectUsersByIdList" resultType="User"> SELECT * FROM users WHERE id IN <foreach collection="idList" item="id" open="(" separator="," close=")"> #{id} <!-- 关键：这里必须用 #{} --> </foreach> </select>

对应的Java接口：

List<User> selectUsersByIdList(@Param("idList") List<Long> idList);

这样，MyBatis会为列表中的每个元素生成一个独立的预编译参数，例如列表[1,2,3]会生成SQLWHERE id IN (?, ?, ?)，并安全地设置三个参数值。

4.2 安全实现动态`WHERE`条件（`<if>`与`<where>`）

<where>标签会自动处理WHERE关键字和AND/OR前缀，避免语法错误，并且其内部使用#{}是安全的。

<select id="findUsers" resultType="User"> SELECT * FROM users <where> <if test="username != null and username != ''"> AND username = #{username} </if> <if test="email != null"> AND email = #{email} </if> <if test="statusList != null and statusList.size() > 0"> AND status IN <foreach collection="statusList" item="status" open="(" separator="," close=")"> #{status} </foreach> </if> </where> ORDER BY create_time DESC </select>

注意事项：<if>标签的test表达式是OGNL表达式，直接访问参数对象的属性。这里没有SQL注入风险，但要注意test表达式本身的逻辑正确性。

4.3 必须使用`${}`的危险场景与加固方案

真正必须使用${}的场景很少，主要是动态表名和动态排序字段。

加固方案：白名单 + 映射

建立枚举或常量池：在代码中定义所有允许的动态值。
使用Map进行映射：将前端传入的、可能不安全的参数，映射到后台安全的、确定的数据库字段名。

// 排序字段安全映射 public class PageParam { private String sortField; // 前端传入，如 "createTime" private String sortOrder; // "asc" or "desc" private static final Map<String, String> FIELD_MAPPING = new HashMap<>(); static { FIELD_MAPPING.put("createTime", "create_time"); FIELD_MAPPING.put("userName", "username"); // ... 其他映射 } public String getSafeSortField() { String dbField = FIELD_MAPPING.get(this.sortField); return (dbField != null) ? dbField : "create_time"; // 默认值 } public String getSafeSortOrder() { return "asc".equalsIgnoreCase(this.sortOrder) ? "ASC" : "DESC"; } }

在MyBatis XML中：

<select id="selectWithOrder" resultType="..."> SELECT * FROM some_table ORDER BY ${safeSortField} ${safeSortOrder} <!-- 此时${}内的值是经过白名单校验和映射的，是安全的 --> </select>

5. 高级话题与框架源码层面的思考

当你对基础防御手段了然于胸后，可以思考一些更深层次的问题。

5.1 PreparedStatement真的100%安全吗？

在绝大多数情况下，是的。但存在一些极其边缘的、依赖于特定数据库驱动实现的场景，理论上可能存在绕过。例如，某些驱动在实现PreparedStatement时，如果允许在参数中嵌入某些特定字符序列，并在服务器端进行二次解释，可能存在问题。不过，主流数据库（MySQL, PostgreSQL, Oracle等）的官方JDBC驱动都经过了严格的安全审计，可以信任。我们的结论是：正确使用标准API的PreparedStatement，对于防御SQL注入是充分且必要的。

5.2 存储过程与SQL注入

有人认为把SQL逻辑写在数据库的存储过程中就安全了。这是一个误区。不安全的存储过程调用，同样会导致注入。

// 错误！在调用存储过程时拼接参数 String callSql = "{CALL get_user_info('" + username + "')}"; CallableStatement cstmt = connection.prepareCall(callSql); // 注入点！ // 正确！使用参数占位符 String callSql = "{CALL get_user_info(?)}"; CallableStatement cstmt = connection.prepareCall(callSql); cstmt.setString(1, username);

存储过程内部如果使用了动态SQL（如EXECUTE IMMEDIATE）并拼接了输入参数，风险就从应用层转移到了数据库层。因此，存储过程本身也需要用参数化方式编写。

5.3 连接池配置与安全

以阿里开源的Druid连接池为例，它提供了一些有用的安全特性：

SQL防火墙：可以配置黑名单（拦截明显危险的SQL模式，如DELETE FROM user）和白名单（只允许执行特定的SQL模式）。
SQL执行监控：可以统计所有执行的SQL，便于发现异常模式。
加密配置：数据库密码可以在配置文件中加密存储。

在application.yml中配置Druid过滤器示例：

spring: datasource: druid: filters: stat,wall,log4j2 wall: enabled: true config: delete-allow: false # 禁止执行DELETE语句（根据业务调整） drop-table-allow: false # 禁止执行DROP TABLE

这些功能为应用增加了一层运行时防护，尤其适用于对遗留代码进行安全加固。

6. 实战：代码审计与漏洞挖掘演练

知道怎么防，也要知道怎么攻（仅用于安全测试）。我们模拟一次简单的代码审计。

假设有一段“古老”的DAO层代码：

public User findUserByName(String name) { String sql = "SELECT * FROM t_user WHERE name = '" + name + "'"; // ... 使用Statement执行 return result; }

审计过程：

识别危险API：搜索代码库中的createStatement、executeQuery(sql)、executeUpdate(sql)，以及MyBatis中的${}。
回溯数据流：找到调用findUserByName的方法，查看参数name的来源。是否来自HttpServletRequest.getParameter、@RequestParam等用户可控的输入源。
构造POC：确认漏洞存在后，可以构造简单的POC进行验证。例如，传入name值为admin' OR '1'='1，看是否能返回所有用户数据。

使用SQLMap进行自动化测试（仅用于授权测试环境，如DVWA、Pikachu靶场）：在确保拥有测试授权的前提下，可以使用工具辅助。

# 针对一个GET请求的注入点 sqlmap -u "http://target.com/user?id=1" --batch # 针对一个POST请求的注入点 sqlmap -u "http://target.com/login" --data="username=admin&password=pass" --batch

工具会自动检测注入类型（布尔盲注、时间盲注、联合查询等）并尝试利用。这个过程强烈建议只在你自己搭建的靶场（如DVWA, SQLi-Labs, Pikachu）中进行，切勿对未授权系统进行测试。

7. 面试精要：如何回答“如何防止SQL注入？”

这道题是Java后端面试的“钉子户”。一个出色的回答应该体现层次感和深度。

标准回答框架：

核心原则：永远不要信任用户输入，将数据与代码（SQL指令）分离。
根本措施：使用参数化查询（PreparedStatement）。解释其原理：数据库先编译SQL结构，再将参数作为纯数据处理，从根本上杜绝注入。
ORM框架规范：
- MyBatis：优先使用#{}，禁止使用${}进行值传递。对于动态表名/列名等必须使用${}的场景，必须进行严格的白名单校验。
- JPA/Hibernate：使用参数化JPQL（?1或:name）或Criteria API。
补充防御：
- 输入验证：对用户输入进行类型、格式、长度、业务规则的校验。
- 最小权限原则：数据库连接账户不应使用root或sa等高权限账户，应遵循最小权限原则，只授予应用必要的CRUD权限。
- 避免泄露错误信息：生产环境应使用自定义全局异常处理器，避免将包含数据库结构、SQL语句的详细错误信息直接返回给前端。
深度加分项：
- 提到LIKE查询和IN查询等特殊场景下的安全处理。
- 提到存储过程调用也需参数化。
- 提到可以使用Druid连接池的SQL防火墙等功能进行运行时防护。
- 提到代码审计和自动化扫描工具（SAST/DAST）作为SDL（安全开发生命周期）的一部分。

避坑指南：不要只回答“用PreparedStatement”。要能说出它为什么能防注入，以及它在哪些场景下可能“失灵”（如动态表名），并给出解决方案。这能立刻拉开你与其他候选人的差距。

8. 从开发到运维：建立防注入的完整流程

安全不是开发阶段的事，而是一个贯穿始终的流程。

需求与设计阶段：在API设计时，就明确参数的格式、类型和边界。考虑是否真的需要高度动态的查询（如任意字段排序、过滤），如果不需要，尽量简化设计。
编码阶段：
- 团队规范：制定编码安全规范，明确禁止Statement拼接，规范MyBatis中${}的使用。
- 代码模板/脚手架：在项目初始化模板中，就包含安全的数据库操作示例。
- 结对编程与代码审查：将SQL安全作为代码审查的必查项。
测试阶段：
- 单元测试：编写测试用例，传入包含单引号、分号等特殊字符的输入，验证程序是否抛出预期异常或进行了正确处理。
- 自动化安全扫描：将SAST工具（如SonarQube的Security插件）集成到CI流水线，设置质量门禁，拦截不安全的代码合并。
- 渗透测试：在测试环境定期进行DAST扫描或邀请安全团队进行渗透测试。
部署与运维阶段：
- WAF：在应用前端部署WAF，作为一道额外的网络防线。
- 日志监控：监控数据库慢查询日志和应用错误日志，关注异常的、高频的或包含特殊字符的SQL请求模式。
- 依赖库升级：定期升级JDBC驱动、ORM框架，修复已知的安全漏洞。