发布日期:2018-03-26
Java - 转义字符串以防止SQL注入+ 查看更多
Java - 转义字符串以防止SQL注入
+ 查看更多
发布日期:2018-02-23 09:41
分类:SQL
浏览次数:559
我试图在Java中用反sql注入来替换字符串,我发现使用“replaceAll”字符串函数实现是非常困难的。最终我需要一个函数将任何存在的\转换成\\,"转换成\",'转换成\',\n转换成\\n以便当字符串被当做sql注入运算求值时将被阻止。
我加了一些我正在使用的代码,函数中的所有的\\\\\\\\\\\使我都发疯了。如果有人碰巧有一个这样的例子,我会非常感谢。
最佳答案:
public insertUser(String name, String email) { Connection conn = null; PreparedStatement stmt = null; try { conn = setupTheDatabaseConnectionSomehow(); stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)"); stmt.setString(1, name); stmt.setString(2, email); stmt.executeUpdate(); } finally { try { if (stmt != null) { stmt.close(); } } catch (Exception e) { // log this error } try { if (conn != null) { conn.close(); } } catch (Exception e) { // log this error } } }
无论name和email中有什么字符,这些字符都将直接放置在数据库中。 它们不会以任何方式影响INSERT语句。
对于不同的数据类型有不同的设置方法 - 您使用哪种方法取决于您的数据库字段。 例如,如果数据库中有一个INTEGER列,则应使用setInt方法。 PreparedStatement文档列出了可用于设置和获取数据的所有不同方法。