ReadyStatements가 Java 애플리케이션에서 SQL 주입을 어떻게 방지할 수 있습니까?

Java 애플리케이션의 SQL 주입 취약점 완화

데이터베이스 쿼리의 취약점을 악용할 수 있는 SQL 주입 공격으로부터 보호하려면 다음이 중요합니다. 적절한 위생 기술을 사용합니다. 다음 Java 코드 조각을 고려하십시오.

String insert = "INSERT INTO customer(name,address,email) VALUES('" + name + "','" + addre + "','" + email + "');";

이 코드는 사용자 입력(이름, 주소, 이메일)이 유효성 검사나 삭제 없이 SQL 문에 직접 연결되기 때문에 SQL 삽입 공격에 취약합니다. 악의적인 행위자는 다음과 같은 임의의 SQL 코드를 삽입하여 이를 악용할 수 있습니다.

DROP TABLE customer;

이를 방지하려면 직접적인 SQL 문자열 연결 대신 preparedStatement를 사용하는 것이 중요합니다. ReadyStatement는 매개변수화된 쿼리를 실행하는 안전한 메커니즘을 제공합니다. 예는 다음과 같습니다.

String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);
ResultSet rs = ps.executeQuery();

이 수정된 코드는 setString 메소드를 사용하여 사용자 입력을 해당 SQL 매개변수(삽입 문자열에서 물음표로 표시됨)에 바인딩합니다. SQL 쿼리를 사용자 입력과 분리함으로써 SQL 주입 공격으로부터 면역됩니다. 해커가 삽입한 악성코드는 SQL 문 내에서 리터럴 문자열로 처리되어 유해한 행위를 효과적으로 방지합니다.

위 내용은 ReadyStatements가 Java 애플리케이션에서 SQL 주입을 어떻게 방지할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!