java防止sql注入的方式有哪些

Java防止SQL注入的方式有以下幾種：

1. 使用參數(shù)化查詢（Prepared Statement）：使用PreparedStatement接口來執(zhí)行SQL語句，通過將參數(shù)與SQL語句分開，使得SQL注入攻擊無法成功。

示例代碼：

String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement statement = connection.prepareStatement(sql);
statement.setString(1, username);
statement.setString(2, password);
ResultSet resultSet = statement.executeQuery();

2. 使用存儲(chǔ)過程（Stored Procedure）：將SQL語句封裝在存儲(chǔ)過程中，使用存儲(chǔ)過程來執(zhí)行SQL語句，這樣可以避免直接執(zhí)行SQL語句導(dǎo)致的注入風(fēng)險(xiǎn)。

示例代碼：

String sql = "{CALL authenticateUser(?, ?)}";
CallableStatement statement = connection.prepareCall(sql);
statement.setString(1, username);
statement.setString(2, password);
ResultSet resultSet = statement.executeQuery();

3. 輸入驗(yàn)證和過濾：對(duì)輸入的數(shù)據(jù)進(jìn)行驗(yàn)證和過濾，確保只有合法的數(shù)據(jù)才能進(jìn)入數(shù)據(jù)庫，例如使用正則表達(dá)式對(duì)輸入數(shù)據(jù)進(jìn)行驗(yàn)證。

示例代碼：

String username = request.getParameter("username");
String password = request.getParameter("password");
// 驗(yàn)證和過濾輸入數(shù)據(jù)
if (username.matches("[a-zA-Z0-9]+")) {
// 執(zhí)行SQL查詢
String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";
Statement statement = connection.createStatement();
ResultSet resultSet = statement.executeQuery(sql);
}

4. 使用框架或ORM工具：使用流行的Java框架（如Spring、Hibernate等）或ORM工具（如MyBatis、JPA等），這些框架和工具通常會(huì)自動(dòng)對(duì)SQL語句進(jìn)行參數(shù)化處理，避免了手動(dòng)處理的繁瑣工作。

總體來說，最好的方式是使用參數(shù)化查詢，因?yàn)樗軌蜃畲蟪潭鹊胤乐筍QL注入攻擊。而其他方式則是在某些場(chǎng)景下的替代方案。