过滤单引号,双引号,分号,逗号,冒号,连接号和一些敏感的单词。
如果使用户名密码之类的,就把空格通通过滤掉。只允许字符或数字,在对长度加以限制。
使用参数化查询是比较好的,就是用PreparedStatement来做查询。
可以肯定的说,过滤不是办法,而且效率很低 (过滤的目的主要是提供反馈信息,必须前后台都要做) 但是,有很多办法可以绕过“致命的单引号” 能做的事情按重要性大致如下:
1。数据库访问用预定义会话 PreparedStatement 从根本上防止SQL截断
2。后台过滤(为输入的信息提供反馈信息,只要验证数据格式/长度正确就可以了,不必子自作主张的去过滤/转义各种特殊符号)
3。前台过滤(这只是一个幌子,谁也不能指望前台过滤能防止什么,不过可以减少服务器压力)
4。敏感信息提交(比如帐号密码)设置验证码(因为除了注入,还有穷举)
5。数据库安全设置(每种数据库的弱点不太一样)