SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師程式設計時的疏忽,透過SQL語句,實現無帳號登錄,甚至篡改資料庫。
java後台防止sql注入方法:
1.採用預編譯語句集,它內建了處理SQL注入的能力,只要使用它的setString方法傳值即可:
String sql= "select * from users where username=? and password=?; PreparedStatement preState = conn.prepareStatement(sql); preState.setString(1, userName); preState.setString(2, password); ResultSet rs = preState.executeQuery();
2.採用正規表示式將包含有單引號('),分號(;) 和註解符號(--)的語句給替換掉來防止SQL注入
public static String SQL(String str) { return str.replaceAll(".*([';]+|(--)+).*", " "); } userName=SQL(userName); password=SQL(password); String sql="select * from users where username='"+userName+"' and password='"+password+"' " Statement sta = conn.createStatement(); ResultSet rs = sta.executeQuery(sql);
相關推薦:《Java教學》
以上是java怎麼防止sql注入?的詳細內容。更多資訊請關注PHP中文網其他相關文章!