java后台防止sql注入的方法

Posted Ocean丶

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了java后台防止sql注入的方法相关的知识,希望对你有一定的参考价值。

1.采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:

        String sql= "select * from users where username=? and password=?;
        PreparedStatement preState = conn.prepareStatement(sql);
        preState.setString(1, userName);
        preState.setString(2, password);
        ResultSet rs = preState.executeQuery();

2.采用正则表达式将包含有 单引号(‘),分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入

    public static String SQL(String str)
    {
        return str.replaceAll(".*([‘;]+|(--)+).*", " ");
    }

    userName=SQL(userName);
    password=SQL(password);

    String sql="select * from users where username=‘"+userName+"‘ and password=‘"+password+"‘ "
    Statement sta = conn.createStatement();
    ResultSet rs = sta.executeQuery(sql);

 

以上是关于java后台防止sql注入的方法的主要内容,如果未能解决你的问题,请参考以下文章

防止sql注入的方法

MyBatis如何防止SQL注入

php防sql注入

MyBatis怎么防止SQL注入

如何防止代码注入攻击在PHP

防止 jsp被sql注入的五种方法