java开发中推荐的防御sql注入方法_java如何防止sql注入

SQL注入是比较常见的网络攻击方式之一。它不是利用操作系统的BUG来实现攻击，而是针对程序员编程时的疏忽，被不法用户钻了SQL的空子，通过SQL语句，实现无帐号登录，甚至篡改数据库。下面本篇就来给大家介绍几种java防止sql注入的方法，希望对你们有所帮助。

java防SQL注入，最简单的办法是杜绝SQL拼接。SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑，如果使用PreparedStatement来代替Statement来执行SQL语句，其后只是输入参数，SQL注入攻击手段将无效。

下面我们就来看看java防SQL注入的方法：

1、采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setString方法传值即可：String sql= "select * from users where username=? and password=?;

PreparedStatement preState = conn.prepareStatement(sql);

preState.setString(1, userName);

preState.setString(2, password);

ResultSet rs = preState.executeQuery();

2、采用正则表达式将包含有 单引号(')，分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入。例：public static String SQL(String str)

{

return str.replaceAll(".*([';]+|(--)+).*", " ");

}

userName=SQL(userName);

password=SQL(password);

String sql="select * from users where username='"+userName+"' and password='"+password+"' "

Statement sta = conn.createStatement();

ResultSet rs = sta.executeQuery(sql);