jsp中防止sql注入的一些基本预防措施

 一、啥是sql注入

     所谓sql注入简单说就是被人钻了SQL的空子下面举个最简单的例子。

     sql 为："select * from users where username='"+userName+"' and password='"+password+"' "

     1、攻击者只要在传入的userName加上'--上面的sql便将username='"+userName+"' 后面的条件全部注释掉。直接验证通过。

     2、甚至攻击者只要传入 ' or 1=1 --  道理也是一样的。

     3、sql注入原理推荐个文章，里面有介绍。http://www.nosec.org/2009/0918/59.html

 

二、解决方法： 过滤掉用户输入中的危险字符

    1、第一种采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setString方法传值即可：
    String sql= "select * from users where username=? and password=?;
    PreparedStatement preState = conn.prepareStatement(sql);
    preState.setString(1, userName);
    preState.setString(2, password);
    ResultSet rs = preState.executeQuery();    

   2、将传入的字符串做过滤.replaceAll(".*([';]+|(--)+).*", " ");

   3、js验证：通过js过滤掉客户端提交上来的字符（现在绕过js验证的方法太多不建议采用）

  function IsValid( oField ){ 
    re= /select|update|delete|exec|count|'|"|=|;|>|<|%/i; 
    $sMsg = "请您不要在参数中输入特殊字符和SQL关键字！" 
    if ( re.test(oField.value) ) 
    { 
    alert( $sMsg ); 
    oField.value = '';
    oField.focus(); 
    return false; 
  } 

说明:以上文章大部分来参考网络资料。整理后方便自己的查阅和学习。