有两种方法,一种是对登陆的获得的变量进行特殊字符判断
一种是在登陆的时候使用PreparedStatement进行查询,可以有效的方式SQL注入
第一种方法
SqlString.java
- package com.test.util;
- public class SqlString {
- public static boolean sql_inj(String str) {
- String inj_str = "':and:exec:insert:select:delete:update:count:*:%:chr:mid:master:truncate:char:declare:;:or:-:+:,";
- String inj_stra[] = inj_str.split(":");
- for (int i = 0; i < inj_stra.length; i++) {
- if (str.indexOf(inj_stra[i])!=-1) {
- return false;
- }
- }
- return true;
- }
- }
调用的时候使用如下语句:
boolean f = SqlString.sql_inj(username);
PS:我在网上看过以上代码他们用的分隔符号是“|”但是我在使用的过程中,发现String inj_stra[] = inj_str.split("|");时是把所有字符号都分开了,不是拆分的字符串,而是拆分成字符,我用的JDK1.5,不知道是不是JAVA版本的问题,我查看JDK1.5的API的例子是用的“:”分隔的,所以我也用这个符号分隔,就可以把每个字符串拆分开来。
第二种方法就是查询的时候使用PreparedStatement
- sql="select * from admin where username=? and password=?";
- PreparedStatement psmt= con.prepareStatement(sql);
- psmt.setString(1,username);
- psmt.setString(2,password);
- ResultSet rs = psmt.executeQuery();
- if(rs.next){
- rs.close();
- con.close();
- return false;
- }
- else{
-
- rs.close();
- con.close();
- return true;
- }
这样就可以了