对于防止SQL注入的研究(JAVA代码实现)
来源:互联网 发布:琼花古筝怎么样 知乎 编辑:程序博客网 时间:2024/05/12 11:36
有两种方法,一种是对登陆的获得的变量进行特殊字符判断
一种是在登陆的时候使用PreparedStatement进行查询,可以有效的方式SQL注入
第一种方法
SqlString.java
- package com.test.util;
- public class SqlString {
- public static boolean sql_inj(String str) {
- String inj_str = "':and:exec:insert:select:delete:update:count:*:%:chr:mid:master:truncate:char:declare:;:or:-:+:,";
- String inj_stra[] = inj_str.split(":");
- for (int i = 0; i < inj_stra.length; i++) {
- if (str.indexOf(inj_stra[i])!=-1) {
- return false;
- }
- }
- return true;
- }
- }
调用的时候使用如下语句:
boolean f = SqlString.sql_inj(username);
PS:我在网上看过以上代码他们用的分隔符号是“|”但是我在使用的过程中,发现String inj_stra[] = inj_str.split("|");时是把所有字符号都分开了,不是拆分的字符串,而是拆分成字符,我用的JDK1.5,不知道是不是JAVA版本的问题,我查看JDK1.5的API的例子是用的“:”分隔的,所以我也用这个符号分隔,就可以把每个字符串拆分开来。
第二种方法就是查询的时候使用PreparedStatement
- sql="select * from admin where username=? and password=?";
- PreparedStatement psmt= con.prepareStatement(sql);
- psmt.setString(1,username);
- psmt.setString(2,password);
- ResultSet rs = psmt.executeQuery();
- if(rs.next){
- rs.close();
- con.close();
- return false;
- }
- else{
- rs.close();
- con.close();
- return true;
- }
这样就可以了
- 对于防止SQL注入的研究(JAVA代码实现)
- 防止SQL注入(JAVA代码实现)
- PHP防止SQL注入的实现代码
- 防止PHP中SQL注入实现代码
- 【代码实现】防止SQL注入解决办法
- asp防止sql 语句注入的代码
- 通用的防止SQL注入代码
- java防止sql注入
- java 防止SQL注入
- java防止SQL注入
- JAVA防止SQL注入
- Java防止SQL注入
- java防止sql注入
- Java防止SQL注入
- java防止SQL注入
- Java防止SQL注入
- java 防止sql注入
- Java防止SQL注入
- 个人关于SQLHelper的应用
- JS调用WebService的例子
- 调试ffmpeg与Makefile中的STRIP
- 一个简单的COM程序
- 移动互联网
- 对于防止SQL注入的研究(JAVA代码实现)
- 08年股市总计,09年股市展望
- hibernate netbeans
- 常用的CSS样式备份
- 嵌入式行业里面的应用&驱动&硬件工程师对比
- 习惯的力量 影响35岁前成功的好习惯与恶习
- sql临时表:SQL SERVER临时表的使用
- 内存泄漏检测
- GOOD BLOG LIST