Java - 转义字符串以防止SQL注入

发布日期:2018-02-23 09:41
分类:SQL
浏览次数:42
我试图在Java中用反sql注入来替换字符串,我发现使用“replaceAll”字符串函数实现是非常困难的。最终我需要一个函数将任何存在的\转换成\\,"转换成\",'转换成\',\n转换成\\n以便当字符串被当做sql注入运算求值时将被阻止。
 
我加了一些我正在使用的代码,函数中的所有的\\\\\\\\\\\使我都发疯了。如果有人碰巧有一个这样的例子,我会非常感谢。
 
 
最佳答案:
 
PreparedStatements是可行的方法,因为它们使得sql注入成为不可能。这里有一个简单的例子,将用户的输入作为参数:
public insertUser(String name, String email) {
   Connection conn = null;
   PreparedStatement stmt = null;
   try {
      conn = setupTheDatabaseConnectionSomehow();
      stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
      stmt.setString(1, name);
      stmt.setString(2, email);
      stmt.executeUpdate();
   }
   finally {
      try {
         if (stmt != null) { stmt.close(); }
      }
      catch (Exception e) {
         // log this error
      }
      try {
         if (conn != null) { conn.close(); }
      }
      catch (Exception e) {
         // log this error
      }
   }
}
无论name和email中有什么字符,这些字符都将直接放置在数据库中。 它们不会以任何方式影响INSERT语句。
 
对于不同的数据类型有不同的设置方法 - 您使用哪种方法取决于您的数据库字段。 例如,如果数据库中有一个INTEGER列,则应使用setInt方法。 PreparedStatement文档列出了可用于设置和获取数据的所有不同方法。
上一篇我应该使用字段'datatime'或者'timestamp'吗?
如何在SQL Server中转义一个单引号?下一篇
下一篇如何在SQL Server中转义一个单引号?

最新文章