本文对java操作数据库的一项重点内容——防sql注入进行说明。对现有方法进行了简单优劣讨论与总结,供大家参考讨论。
重点:不要将用户输入内容,在未经检查的情况下,直接拼接为sql语句进行数据库访问操作。
防sql注入方法如下:
过滤输入
对输入内容进行充分过滤,可以利用正则表达式进行匹配。
例如:“(?:’)|(?:–)|(/\*(?:.|[\n\r])?\/)|(and|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare)”
优点:可快速完成对存在sql注入隐患的程序改造;
缺点:会对包含过滤关键字的正常内容进行过滤,可能影响正常功能;过滤可能不完备,依然存在sql注入隐患。预编译语句
采用预编译语句集(PreparedStatement),它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。
优点:代码的可读性和可维护性;PreparedStatement尽最大可能提高性能;最重要的一点是极大地提高了安全性。
缺点:对每一条数据库操作语句都需要进行处理,代码开发会比较麻烦一些。使用框架
使用框架标准的数据库访问类,如:Hibernate框架的Criteria、HibernateDaoSupport等类,并且可以使用反射技术,使得代码通用性比较高。
优点:框架由经验丰富的程序员开发,远比自己开发的程序要完备;直接使用框架,不用考虑具体细节。
缺点:需要对框架进行学习,遵循框架规则进行使用。
==================================
==疑问?帮助?批评?欢迎评论 | QQ:593159978==
==================================