好问题
Good  Question
  • 首 页
  • 问题
    • PHP
    • JAVA
    • CPlusPlus
    • C#
    • SQL
  • 关 于
  • 联 系
Java - 转义字符串以防止SQL注入 关闭 返回上一级  

Java - 转义字符串以防止SQL注入
+ 查看更多

发布日期:2018-02-23 09:41
分类:SQL
浏览次数:503
我试图在Java中用反sql注入来替换字符串,我发现使用“replaceAll”字符串函数实现是非常困难的。最终我需要一个函数将任何存在的\转换成\\,"转换成\",'转换成\',\n转换成\\n以便当字符串被当做sql注入运算求值时将被阻止。
 
我加了一些我正在使用的代码,函数中的所有的\\\\\\\\\\\使我都发疯了。如果有人碰巧有一个这样的例子,我会非常感谢。
 
 
最佳答案:
 
PreparedStatements是可行的方法,因为它们使得sql注入成为不可能。这里有一个简单的例子,将用户的输入作为参数:
public insertUser(String name, String email) {
   Connection conn = null;
   PreparedStatement stmt = null;
   try {
      conn = setupTheDatabaseConnectionSomehow();
      stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
      stmt.setString(1, name);
      stmt.setString(2, email);
      stmt.executeUpdate();
   }
   finally {
      try {
         if (stmt != null) { stmt.close(); }
      }
      catch (Exception e) {
         // log this error
      }
      try {
         if (conn != null) { conn.close(); }
      }
      catch (Exception e) {
         // log this error
      }
   }
}
无论name和email中有什么字符,这些字符都将直接放置在数据库中。 它们不会以任何方式影响INSERT语句。
 
对于不同的数据类型有不同的设置方法 - 您使用哪种方法取决于您的数据库字段。 例如,如果数据库中有一个INTEGER列,则应使用setInt方法。 PreparedStatement文档列出了可用于设置和获取数据的所有不同方法。
上一篇我应该使用字段'datatime'或者'timestamp'吗?
如何在SQL Server中转义一个单引号?下一篇
下一篇如何在SQL Server中转义一个单引号?

最新文章

  • 函数`__construct`用来干嘛的
    发布日期:2018-03-26
  • 通过访客的IP得到他们的地区
    发布日期:2018-03-26
  • 合并两个PHP对象的最好的方法是什么?
    发布日期:2018-03-26
  • 该如何把一该如何把一个对象转化成数组?
    发布日期:2018-03-26
  • 什么是输出缓冲区?
    发布日期:2018-03-26
  • 在PHP中怎么把用逗号分隔的字符串分隔在一个数组里?
    发布日期:2018-03-26
  • 在PHP中使用foreach循环时查找数组的最后一个元素
    发布日期:2018-03-26
关于好问
收集整理一些有用的问题和回答,造福中国的程序旺和IT喵们!
友情链接
起飞页 
相关信息
版权声明
Copyright © 2016 - 2022  苏州卡达网络科技有限公司 备案号:苏ICP备09008221号