Java 防 SQL 注入，最简单的办法是杜绝 SQL 拼接，SQL 注入攻击能得逞是因为在原有 SQL 语句中加入 了新的逻辑，如果使用 PreparedStatement 来代替 Statement 来执行 SQL 语句，其后只是输入参数，SQ L 注入攻击手段将无效，这是因为 PreparedStatement 不允许在不同的插入时间改变查询的逻辑结构，大 部分的 SQL 注入已经挡住了，在 WEB 层我们可以过滤用户的输入来防止 SQL 注入比如用 Filter 来过滤全 局的表单参数。 import java.io.IOException; import java.util.Iterator; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; /** * 通过 Filter 过滤器来防 SQL 注入攻击 * */                public class SQLFilter implements Filter {  private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; | or|-|+|,";  protected FilterConfig filterConfig = null;     protected boolean ignore = true;  public void init(FilterConfig config) throws ServletException {     public void doFilter(ServletRequest request, ServletResponse response,  FilterChain chain) throws IOException, ServletException {  HttpServletRequest req = (HttpServletRequest)request;  HttpServletResponse res = (HttpServletResponse)response;   while(values.hasNext()){  String[] value = (String[])values.next();      for(int i = 0;i < value.length;i++){ if(sql_inj(value[i])){ //TODO 这里发现 sql 注入代码的业务逻辑代码 return; } /** * Should a character encoding specified by the client be ignored? */ this.filterConfig = config; this.inj_str = filterConfig.getInitParameter("keywords"); } Iterator values = req.getParameterMap().values().iterator();//获取所有的表单参数 

} } { }    chain.doFilter(request, response);   public boolean sql_inj(String str)   String[] inj_stra=inj_str.split("\\|");           for (int i=0 ; i < inj_stra.length ; i++ ) { if (str.indexOf(" "+inj_stra[i]+" ")>=0) { return true; } } return false; } } 也可以单独在需要防范 SQL 注入的 JavaBean 的字段上过滤： /** * 防止 sql 注入 * * @param sql * @return */        public static String TransactSQLInjection(String sql) {   return sql.replaceAll(".*([';]+|(--)+).*", " "); }