一、什么是SQL注入
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。

二、模拟SQL注入
我们先创建一个简单的数据库和一个user表：

create database test;
use database test;
create table user(username varchar(20), password(20));

我们在表中插入两个数据：

insert into user values('zack', '123456');
insert into user values('rudy', '123456');

我们再看一个简单的Java程序：

package com.zack.sql;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

public class Sql {
//链接的url
private static String url = "jdbc:mysql:///all_test?serverTimezone=GMT";
//用户名
private static String user = "root";
//密码
private static String password = "123456";
//用于输入
Scanner sc = new Scanner(System.in);

public static void main(String[] args) throws Exception {
//加载驱动
Class.forName("com.mysql.jdbc.Driver");
//获取连接
Connection conn = DriverManager.getConnection(url, user, password);
//获取statment对象
Statement stat = conn.createStatement();

//要求用户输入用户名和密码
System.out.println("请输入你的用户名：");
String name = sc.next();
System.out.println("请输入密码：");
String pwd = sc.next();

//code1、通过用户输入的用户名和密码来查询数据库中是否存在该用户
ResultSet set = stat.executeQuery("select * from user where username = '" + name + "' and password = '" + pwd + "'");

//将匹配到的数据打印出来
while(set.next()) {
String username = set.getString("username");
String password = set.getString("password");
System.out.println("name:" + username + ", pwd:" + password);
}
}

}

我们看到code1，假设我们输入的如下：

zack
123456

这个正好是与我们数据库中匹配的，那么code1中执行的sql语句如下：

select * from user where username = 'zack' and password = '123456';

我们原本设想的是，如果输入不匹配的数据，将无法在数据库中查找到相应的东西，但是我们进行如喜爱输入：

zack' or '1' = '1
111

这个时候，code1中执行的语句如下：

select * from user where username = 'zack' or '1'='1' and password = '123456';

其中’1’ = '1’是恒为真的，所以这个sql语句不会再去判断密码是否正确，这样就完成了SQL注入攻击的效果。

三、如何防止SQL注入
防止sql注入的方法也非常简单，在jdbc中有一个sql语句预编译的对象，我们可以通过PrepareStatement类来实现。假设我们还是要执行查询操作，执行语句如下：

String sql = "select * from user where username = ? and password = ?";

这里我们使用“？”来表示字段的值。然后我们来创建一个PrepareStatement对象，这里和Statement有些不一样：

//在创建PrepareStatement对象时，就传入了sql语句
PrepareStatement preStat = conn.prepareStatement(sql);

这里是在创建PrepareStatement对象时就传入了sql语句，而Statement是在执行查询操作时才传入sql语句。
因为我们已经传入了sql语句，所以在执行查询时不需要传入sql语句，但是要多一步匹配参数的操作：

//将name的值替换到sql语句中第一个？
preStet.setString(1, name);
//将name的值替换到sql语句中第二个？
preStat.setString(2, pwd);

其中name和pwd是我们输入的字符串变量。接下来我们就可以进行查询操作了：

ResultSet set = preStat.executeQuery();
while(set.next()) {
String username = set.getString("username");
String password = set.getString("password");
System.out.println("name:" + username + ", pwd:" + password);
}

这里操作和之前类似，只是不需要传入sql语句。完整代码如下：

package com.zack.sql;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

public class Sql {

private static String url = "jdbc:mysql:///all_test?serverTimezone=GMT";
private static String user = "root";
private static String password = "123456";
private static Scanner sc = new Scanner(System.in);
private static String sql = "select * from user where username = ? and password = ?";

public static void main(String[] args) throws Exception {
//数据库操作
Class.forName("com.mysql.jdbc.Driver");
Connection conn = DriverManager.getConnection(url, user, password);
PreparedStatement stat = conn.prepareStatement(sql);

//要求用户输入用户名和密码
System.out.println("请输入你的用户名：");
String name = sc.next();
System.out.println("请输入密码：");
String pwd = sc.next();

//通过用户输入的用户名和密码来查询数据库中是否存在改用户
stat.setString(1, name);
stat.setString(2, pwd);
ResultSet set = stat.executeQuery();
while(set.next()) {
String username = set.getString("username");
String password = set.getString("password");
System.out.println("name:" + username + ", pwd:" + password);
}
}

}