Java如何拼接SQL语句

在Java中拼接SQL语句是常见需求,但不当操作会引发严重安全风险，以下是专业、安全的实现方案：

严禁直接拼接（高危操作）

错误示例（存在SQL注入漏洞）：

String userInput = request.getParameter("userId"); // 用户输入"1 OR 1=1"
String sql = "SELECT * FROM users WHERE id = " + userInput; // 导致全表泄露

首选方案：参数化查询（PreparedStatement）

String sql = "SELECT * FROM users WHERE email = ? AND status = ?";
try (PreparedStatement pstmt = connection.prepareStatement(sql)) {
    pstmt.setString(1, userEmail);  // 自动转义特殊字符
    pstmt.setInt(2, 1);             // 类型安全绑定
    ResultSet rs = pstmt.executeQuery();
    // 处理结果集...
}

优势：

1. 自动防御SQL注入（如' OR 1=1 --会被转义）
2. 提升性能（SQL模板可复用）
3. 类型安全校验

动态SQL安全拼接方案

方案1：条件过滤器（Java 9+）

List<String> conditions = new ArrayList<>();
List<Object> params = new ArrayList<>();
if (StringUtils.isNotBlank(username)) {
    conditions.add("username LIKE ?");
    params.add("%" + username + "%");
}
if (minSalary != null) {
    conditions.add("salary >= ?");
    params.add(minSalary);
}
String whereClause = conditions.isEmpty() ? "" : " WHERE " + String.join(" AND ", conditions);
String sql = "SELECT * FROM employees" + whereClause;
try (PreparedStatement pstmt = connection.prepareStatement(sql)) {
    for (int i = 0; i < params.size(); i++) {
        pstmt.setObject(i + 1, params.get(i));
    }
    // 执行查询...
}

方案2：使用JOOQ或QueryDSL

// JOOQ示例
List<User> users = context.select()
                          .from(USERS)
                          .where(USERS.NAME.like("%" + name + "%"))
                          .and(USERS.AGE.ge(age))
                          .fetchInto(User.class);

框架优势：

• 编译期SQL语法检查
• 类型安全的表达式构建
• 支持多数据库方言

特殊值处理规范

1. IN子句：使用预编译批处理

   PreparedStatement pstmt = conn.prepareStatement(
    "SELECT * FROM products WHERE category IN (?, ?, ?)");
   pstmt.setString(1, "books");
   pstmt.setString(2, "electronics");
   pstmt.setString(3, "home");

2. 动态表名/列名：白名单校验

   // 定义允许的表名集合
   Set<String> validTables = Set.of("users", "products", "orders");

if (!validTables.contains(tableName)) {
throw new IllegalArgumentException(“Invalid table name”);
}
String sql = “SELECT * FROM ” + tableName; // 仍要警惕XSS攻击

### 五、必须规避的陷阱
1. **禁止字符串拼接**：`String.format()`、`+`运算符等
2. **禁用Statement类**：只允许PreparedStatement/CallableStatement
3. **ORM注意事项**：
   - JPA的JPQL必须使用`setParameter()`
   - MyBatis禁用`${}`，只用`#{}`
```xml
<!-- 错误示例 -->
SELECT * FROM ${tableName}  <!-- 存在注入风险 -->
<!-- 正确做法 -->
SELECT * FROM #{tableName}  <!-- 实际无效 -->
<!-- 应使用动态SQL标签 -->
<select id="findUsers" resultType="User">
  SELECT * FROM users
  <where>
    <if test="name != null">
      AND name LIKE #{name}
    </if>
  </where>
</select>

权威建议

1. OWASP TOP 10：始终将注入攻击列为首要风险
2. 防御深度策略：
   • 前端输入验证（正则过滤）
   • 后端参数化查询
   • 数据库最小权限原则
3. 审计工具：
   • 使用SQLMap进行漏洞扫描
   • SonarQube静态代码分析

引用说明：本文方法论符合OWASP SQL注入防护标准，参考Oracle官方JDBC文档、MITRE CWE-89漏洞条目及JSR 221数据库连接规范，核心实践基于NIST SP 800-123安全开发指南。