java后台防止sql注入的方法

本文转载自查看原文 2017-04-29 14:10 7912

1.采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setString方法传值即可：

        String sql= "select * from users where username=? and password=?;
        PreparedStatement preState = conn.prepareStatement(sql);
        preState.setString(1, userName);
        preState.setString(2, password);
        ResultSet rs = preState.executeQuery();

2.采用正则表达式将包含有单引号(')，分号(;) 和注释符号(--)的语句给替换掉来防止SQL注入

    public static String SQL(String str)
    {
        return str.replaceAll(".*([';]+|(--)+).*", " ");
    }

    userName=SQL(userName);
    password=SQL(password);

    String sql="select * from users where username='"+userName+"' and password='"+password+"' "
    Statement sta = conn.createStatement();
    ResultSet rs = sta.executeQuery(sql);

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 PHP中防止SQL注入的方法 PHP中防止SQL注入的方法使用Hibernate防止SQL注入的方法防止 jsp被sql注入的五种方法防止SQL注入的五种方法 Java防止SQL注入的途径介绍防止SQL注入如何防止sql注入攻击 SQL注入是什么？如何防止？如何防止SQL注入