J2EE框架SQL注入防护详解

1. SQL注入概述

SQL注入是一种常见的安全漏洞，攻击者通过在应用程序的输入字段中插入恶意SQL代码，从而绕过安全限制，获取非授权数据或执行数据库操作。在J2EE开发中，不同的持久层框架提供了不同的防护机制。

2. Hibernate框架防护

2.1 HQL参数化查询

Hibernate提供了两种参数绑定方式防止SQL注入：

位置参数绑定：

Query query = session.createQuery("from Secret where username=?");
query.setParameter(0, username);

命名参数绑定：

Query query = session.createQuery("from Secret where username=:username");
query.setParameter("username", username);

两种方式都会对参数进行转义处理，防止注入攻击。

3. JDBC防护

3.1 PreparedStatement预编译

使用PreparedStatement可以有效防止SQL注入：

PreparedStatement updateSales = conn.prepareStatement(
    "update goods set sales = ? where good_name like ?");
updateSales.setInt(1, 75);
updateSales.setString(2, "喜之郎果冻");
updateSales.executeUpdate();

PreparedStatement通过预编译SQL语句和参数绑定机制，确保用户输入不会被解释为SQL语法。

4. MyBatis框架防护

MyBatis中防止SQL注入的核心原则：能用#{}就不用${}

4.1 安全示例

select * from news where tile like concat('%',#{title},'%')

#{}语法会进行预编译处理，而${}是直接字符串替换，存在注入风险。

5. ESAPI防护方案

ESAPI(Enterprise Security API)提供了针对不同数据库的编码器。

5.1 Oracle防护

Codec oracleCodec = new OracleCodec();
String query = "select name from users where id = " + 
    ESAPI.encoder().encoderForSQL(oracleCodec, userId);
Statement stmt = conn.createStatement(query);

5.2 MySQL防护

MySQL提供两种编码模式：

ANSI模式：

Codec mysqlCodec = new MySQLCodec(MySQLCodec.ANSI_MODE);

ANSI模式处理逻辑：

• 对单引号(')转义为两个单引号('')
• 对双引号(")进行过滤

MySQL模式：

Codec mysqlCodec = new MySQLCodec(MySQLCodec.MYSQL_MODE);

MySQL模式通过在特殊字符前加反斜杠(\)进行转义。

5.3 其他数据库支持

ESAPI还提供以下数据库的编码器：

• DB2Codec
• MSSQLCodec
• PgSQLCodec

使用方式相同，都是先实例化对应Codec，再通过ESAPI.encoder().encoderForSQL()进行过滤/转义操作。

6. 最佳实践总结

1. 优先使用参数化查询：无论是Hibernate、JDBC还是MyBatis，参数化查询是最可靠的防护手段
2. 避免字符串拼接SQL：任何情况下都不应该直接拼接用户输入到SQL语句中
3. 合理使用ORM框架：充分利用框架提供的安全机制
4. 多层防御：除了数据库层防护，还应在前端进行输入验证
5. 最小权限原则：数据库连接使用最小必要权限的账户

通过以上措施的综合应用，可以有效防止J2EE应用中的SQL注入漏洞。