对于防止SQL注入的研究（JAVA代码实现）

 

有两种方法，一种是对登陆的获得的变量进行特殊字符判断

一种是在登陆的时候使用PreparedStatement进行查询，可以有效的方式SQL注入

 

第一种方法

SqlString.java

1. package com.test.util;
3. public class SqlString {
4.   public static boolean sql_inj(String str) {
5.     String inj_str = "':and:exec:insert:select:delete:update:count:*:%:chr:mid:master:truncate:char:declare:;:or:-:+:,";
6.     String inj_stra[] = inj_str.split(":");
7.     for (int i = 0; i < inj_stra.length; i++) {
8.       if (str.indexOf(inj_stra[i])!=-1) {
9.         return false;
10.       }
11.     }
12.     return true;
13.   }
15. }

调用的时候使用如下语句：

boolean f = SqlString.sql_inj(username);

 

PS：我在网上看过以上代码他们用的分隔符号是“|”但是我在使用的过程中，发现String inj_stra[] = inj_str.split("|");时是把所有字符号都分开了，不是拆分的字符串，而是拆分成字符，我用的JDK1.5，不知道是不是JAVA版本的问题，我查看JDK1.5的API的例子是用的“:”分隔的，所以我也用这个符号分隔，就可以把每个字符串拆分开来。

 

第二种方法就是查询的时候使用PreparedStatement

1. sql="select * from admin where username=? and password=?";
2. PreparedStatement psmt= con.prepareStatement(sql);
3. psmt.setString(1,username);
4. psmt.setString(2,password);
5. ResultSet rs = psmt.executeQuery();
6. if(rs.next){
7. rs.close();
8. con.close();
9. return false;
10. }
11. else{
12. rs.close();
13. con.close();
14. return true;
15. }

这样就可以了