1、sql注入
浏览数:52 /
时间:2015年06月12日
如何防止SQL注入
- 替换到查询之前,我们需要做验证。移除特殊字符如单引号,关键词像select, union...
- 使用Prepared Statement和占位符
- Prepared Statement防止sql注入的方法是ps.setString(1,user)该方法可以对所有数据可以进行校验,移除特殊字符或者转义
1 |
PreparedStatement
preparedStatement=conn.prepareStatement(‘SELECT * FROM usercheck where
username=?‘) ; |
2 |
preparedStatement.setString(1, user); |
现在如果你使用sql注入 sdfssd‘ or ‘1‘=‘1 那么
1 |
SELECT * FROM User where userId=‘sdfssd\‘ or
\‘1\‘=\‘1‘ |
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。
