Java-转义字符串以防止sql注入我试图在java中引入一些反SQL注入,我发现很难使用“replaceAll”字符串函数。最终,我需要一个转换任何现有函数的函数。\到\\,任何"到\",任何'到\',还有任何\n到\\n这样,当字符串被MySQL计算时,SQL注入就会被阻塞。我已经整理了一些我正在使用的代码和所有的\\\\\\\\\\\在功能上让我的眼睛发狂。如果有人碰巧有这样的例子,我会非常感激的。
3 回答
慕仙森
TA贡献1827条经验 获得超8个赞
PreparedStatement是可行的,因为它们使SQL注入成为不可能。下面是一个简单的示例,将用户的输入作为参数:
public insertUser(String name, String email) {
Connection conn = null;
PreparedStatement stmt = null;
try {
conn = setupTheDatabaseConnectionSomehow();
stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
stmt.setString(1, name);
stmt.setString(2, email);
stmt.executeUpdate();
}
finally {
try {
if (stmt != null) { stmt.close(); }
}
catch (Exception e) {
// log this error
}
try {
if (conn != null) { conn.close(); }
}
catch (Exception e) {
// log this error
}
}}无论名称和电子邮件中有哪些字符,这些字符都将直接放在数据库中。它们不会以任何方式影响INSERT语句。
对于不同的数据类型,有不同的集合方法-使用哪种方法取决于数据库字段是什么。例如,如果数据库中有整数列,则应使用setInt方法。筹备情况文件列出所有可用于设置和获取数据的不同方法。
ITMISS
TA贡献1871条经验 获得超8个赞
添加回答
举报
0/150
提交
取消