Как я должен санировать вход базы данных в Java?

Используйте PreparedStatement вместо Оператора

Обычно, Вы не должны создавать вход конкатенации запроса, но использование PreparedStatement вместо этого.

Это позволяет Вам указать, в которых местах Вы будете устанавливать свои параметры в Вашем запросе, таким образом, Java будет заботиться об очистке всех исходных данных для Вас.

PreparedStatement? Да, абсолютно. Но я думаю, что существует еще один шаг: проверка входа от UI и связывающий с объектами до нахождения рядом с базой данных.

Я вижу, где привязка Строки в PreparedStatement могла бы все еще оставить Вас уязвимыми для атаки с использованием кода на SQL:

String userInput = "Bob; DELETE FROM FOO";
String query = "SELECT * FROM FOO WHERE NAME = ?";

PreparedStatement ps = connection.prepareStatement(query);
ps.setString(1, userInput);
ps.executeQuery();

Я имею, должен признать, что я не попробовал его сам, но если бы это удаленно возможно, что я сказал бы, что PreparedStatement необходим, но не достаточен. Проверка и привязывание стороны сервера являются ключевыми.

Я рекомендовал бы делать его с обязательным API Spring.

Ваш ввод данных пользователем должен был бы на самом деле быть "Bob'; delete from foo; select '" (или что-то как этот), таким образом, неявные кавычки, добавленные подготовленным оператором, были бы закрыты:

SELECT * FROM FOO WHERE NAME = 'Bob'; delete from foo; select ''

но если Вы сделаете это, то подготовленный код оператора заключит Вашу кавычку в кавычки, таким образом, Вы получите фактический запрос

SELECT * FROM FOO WHERE NAME = 'Bob''; delete from foo; select '''

и Ваше имя было бы сохранено как "Bob', delete from foo; select '" вместо того, чтобы выполнить несколько запросов.