java后台防止sql注入的方法

时间：2017-04-29 15:03:37 阅读：679 评论：0 收藏：0 [点我收藏+]

1.采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setString方法传值即可：

        String sql= "select * from users where username=? and password=?;
        PreparedStatement preState = conn.prepareStatement(sql);
        preState.setString(1, userName);
        preState.setString(2, password);
        ResultSet rs = preState.executeQuery();

2.采用正则表达式将包含有单引号(‘)，分号(;) 和注释符号(--)的语句给替换掉来防止SQL注入

    public static String SQL(String str)
    {
        return str.replaceAll(".*([‘;]+|(--)+).*", " ");
    }

    userName=SQL(userName);
    password=SQL(password);

    String sql="select * from users where username=‘"+userName+"‘ and password=‘"+password+"‘ "
    Statement sta = conn.createStatement();
    ResultSet rs = sta.executeQuery(sql);

java后台防止sql注入的方法

原文：http://www.cnblogs.com/2016-10-07/p/6785106.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)