一种是对登陆的获得的变量进行特殊字符判断
一种是在登陆的时候使用PreparedStatement进行查询,可以有效的方式SQL注入
在说如何防止之前首先我先说一下造成SQL注入的原因是因为程序员书写的原因
一般来说SQL注入很多时候都是SQL语句拼接造成的。
方法一:
//过滤 ‘
//ORACLE 注解 -- /**/
//关键字过滤 update ,delete
static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"+ "(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";
static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);
/**
* 参数校验
*
* @param str
*/
public static void isValid(String str) {
if (sqlPattern.matcher(str).find()) {
logger.error("未能通过过滤器:p=" + p);
return false;
}
return true;
}
使用方法:直接调用
第二种方法就是查询的时候使用PreparedStatement
sql="select * from admin where username=? and password=?";
PreparedStatement psmt= con.prepareStatement(sql);
psmt.setString(1,username);
psmt.setString(2,password);
ResultSet rs = psmt.executeQuery();
if(rs.next){
rs.close();
con.close();
return false;
}
else{
rs.close();
con.close();
return true;
}
PS: 个人关于SQL注入理解,SQL注入造成的原因其实就是SQL语句的拼接造成的。所以不要使用拼接字符串的方式来拼接SQL