关于Java防SQL注入的方法研究

一种是对登陆的获得的变量进行特殊字符判断

一种是在登陆的时候使用PreparedStatement进行查询，可以有效的方式SQL注入

在说如何防止之前首先我先说一下造成SQL注入的原因是因为程序员书写的原因 

一般来说SQL注入很多时候都是SQL语句拼接造成的。

方法一：

//过滤 ‘//ORACLE 注解 --  /**///关键字过滤 update ,delete static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"+ "(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);/** * 参数校验 *  * @param str */public static void isValid(String str) {if (sqlPattern.matcher(str).find()) {logger.error("未能通过过滤器：p=" + p);return false;}return true;}

使用方法：直接调用

第二种方法就是查询的时候使用PreparedStatement

sql="select * from admin where username=? and password=?";PreparedStatement psmt= con.prepareStatement(sql);psmt.setString(1,username);psmt.setString(2,password);ResultSet rs = psmt.executeQuery();if(rs.next){rs.close();con.close();return false;}else{rs.close();con.close();return true;}

PS： 个人关于SQL注入理解，SQL注入造成的原因其实就是SQL语句的拼接造成的。所以不要使用拼接字符串的方式来拼接SQL