Java防止SQL注入的方法

一、SQL 注入简介：SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:

1、比如在一个登陆界面,要求用户输入用户名和密码:

        用户名:     ' or 1=1 --   

        密     码:   

        点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:

        String sql="select * from users where username='"+userName+"' and password='"+password+"' "

那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

        这是为什么呢?我们来看看这条语句,将用户输入的数据替换后得到这样一条语句:

        select * from users where username='' or 1=1 --' and password=''

2、 这还是比较温柔的，如果是执行 
        select * from users where username='' ;DROP Database    (DB Name) --' and password=''

        .......其他的您可以自己想象。。。

二、Java后台防止SQL注入的方法

    1.采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setString方法传值即可：

String sql= "select * from users where username=? and password=?; PreparedStatement preState = conn.prepareStatement(sql); preState.setString(1, userName); preState.setString(2, password); ResultSet rs = preState.executeQuery();

2.采用正则表达式将包含有 单引号(')，分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入

public static String SQL(String str)
    {
        return str.replaceAll(".*([';]+|(--)+).*", " ");
    }

    userName=SQL(userName);
    password=SQL(password);

    String sql="select * from users where username='"+userName+"' and password='"+password+"' "
    Statement sta = conn.createStatement();
    ResultSet rs = sta.executeQuery(sql);