有些场景下,我们需要使用mybaits的${}传入参数,这时候,防止sql注入就很有必要了,我们可以在代码层进行防sql注入,代码如下:
例如:
private String transactSQLInjection(String str) {
return str.replaceAll(".([’;]+|(–)+).", " ");
}
将所有的;–之类的符号替换成空字符串,如有遇到sql注入时,通过日志可以看到sql执行失败,就会发现是否有恶意的sql注入发生
防sql注入的java代码
最新推荐文章于 2024-05-15 09:16:44 发布