java怎麼防止sql注入？

SQL注入是比較常見的網路攻擊方式之一，它不是利用作業系統的BUG來實現攻擊，而是針對程式設計師程式設計時的疏忽，透過SQL語句，實現無帳號登錄，甚至篡改資料庫。

java後台防止sql注入方法：

1.採用預編譯語句集，它內建了處理SQL注入的能力，只要使用它的setString方法傳值即可：

String sql= "select * from users where username=? and password=?;
PreparedStatement preState = conn.prepareStatement(sql);
preState.setString(1, userName);
preState.setString(2, password);
ResultSet rs = preState.executeQuery();

2.採用正規表示式將包含有單引號(')，分號(;) 和註解符號(--)的語句給替換掉來防止SQL注入

public static String SQL(String str)
{
return str.replaceAll(".*([';]+|(--)+).*", " ");
}
userName=SQL(userName);
password=SQL(password);
String sql="select * from users where username='"+userName+"' and password='"+password+"' "
Statement sta = conn.createStatement();
ResultSet rs = sta.executeQuery(sql);

相關推薦：《Java教學》

以上是java怎麼防止sql注入？的詳細內容。更多資訊請關注PHP中文網其他相關文章！