JDBCでのSQLインジェクションを防ぐにはどうすればよいですか?

JDBC - SQL インジェクションの脆弱性の防止

プリコンパイルを使用すると、SQL インジェクションの脆弱性を効果的に防止できます。

理由: SQL インジェクションの脆弱性は、ステートメントでは効果的に防止できません。これは、ユーザーがパラメーターを渡すときに、一重引用符 ' ' などの特殊文字を渡す可能性があるためです。 -- これは SQL ステートメントに影響します。

つまり、プリコンパイルでプレースホルダーを使用すると、この問題に効果的に対処できます。

public class Prepared {
@Test
public void papa(){
Connection conn = null;
PreparedStatement pstmt = null;
ResultSet rs = null;
try{
//注册驱动
// Class.forName("com.mysql.jdbc.Driver");
//建立连接
// conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/user","root","dumy");
conn =JDBCUtils.getConnection();
//编写sql代码
//String sql = "select * from administer where id = ?";
String sql = "select * from administer where username = ? and password =?";
//预编译
pstmt = conn.prepareStatement(sql);
//给？ 赋值
pstmt.setString(1, "ddd");
pstmt.setString(2, "123");
rs= pstmt.executeQuery();
while(rs.next()){
System.out.println("登录成功");
}
}catch(Exception e){
e.printStackTrace();
}finally{
JDBCUtils.release(pstmt, conn, rs);
}
}
}

以上がJDBCでのSQLインジェクションを防ぐにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。