如何解决Java-防止SQL注入的转义字符串
PreparedStatement是可行的方法,因为它们使sql注入成为不可能。这是一个简单的示例,将用户的输入作为参数:
public insertUser(String name, String email) {
Connection conn = null;
PreparedStatement stmt = null;
try {
conn = setupTheDatabaseConnectionSomehow();
stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
stmt.setString(1, name);
stmt.setString(2, email);
stmt.executeUpdate();
}
finally {
try {
if (stmt != null) { stmt.close(); }
}
catch (Exception e) {
// log this error
}
try {
if (conn != null) { conn.close(); }
}
catch (Exception e) {
// log this error
}
}
}
无论姓名和电子邮件中包含什么字符,这些字符都将直接放置在数据库中。它们不会以任何方式影响INSERT语句。
对于不同的数据类型,有不同的设置方法-使用哪种方法取决于数据库字段是什么。例如,如果数据库中有一个INTEGER列,则应使用一个setInt
方法。PreparedStatement文档列出了可用于设置和获取数据的所有不同方法。
解决方法
我试图在Java中放置一些反SQL注入,并发现使用“
replaceAll”字符串函数非常困难。最后,我需要,将转换现有的功能\
来\\
,任何"
到\"
,任何'
到\'
,任何\n
以\\n
使得当字符串由MySQL的SQL注入评估将被阻止。
我已经整理了一些正在使用的代码,并且\\\\\\\\\\\
该函数中的所有内容都使我大失所望。如果有人碰巧有这个例子,我将不胜感激。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。