防止 SQL 注入、XSS、CSRF：Java Web 安全指南

在数字化浪潮席卷全球的今天，Java 作为企业级 Web 应用开发的主力语言，支撑着无数核心系统。然而，越是关键的系统，越容易成为黑客攻击的“高价值目标”。SQL 注入（SQL Injection）、跨站脚本（XSS）、跨站请求伪造（CSRF）等经典 Web 安全威胁，依旧频频出现在漏洞排行榜上。

更危险的是，这些漏洞并非源自高深技术，而往往是开发者的安全意识不足、架构设计不当或编码习惯松散导致。本文将从专业视角出发，深刻剖析三大核心漏洞成因与防御策略，帮助你真正构建安全的 Java Web 应用。

---

一、SQL 注入（SQL Injection）：数据之门，攻防第一战场

1. 本质与危害

本质：攻击者将恶意 SQL 代码注入应用查询语句中，篡改数据库指令。

后果：

• 数据泄露、篡改、删除；
• 管理员账户接管；
• 持久化后门（如 MySQL UDF 写 Shell）；
• 二次渗透，攻陷内网。

2. 漏洞示例（错误用法）

String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery(sql);

输入 admin' OR '1'='1，直接绕过认证。

3. Java 专业防御策略

✅