java如何防止sql注入

這篇文章給大家分享的是有關(guān)java如何防止sql注入的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考。一起跟隨小編過來看看吧。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)建站！專注于網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了洛龍免費(fèi)建站歡迎大家使用！

 SQL注入是比較常見的網(wǎng)絡(luò)攻擊方式之一，它不是利用操作系統(tǒng)的BUG來實(shí)現(xiàn)攻擊，而是針對程序員編程時(shí)的疏忽，通過SQL語句，實(shí)現(xiàn)無帳號登錄，甚至篡改數(shù)據(jù)庫。

下面我們給大家介紹java后臺(tái)防止sql注入的兩種方法

1.采用預(yù)編譯語句集，它內(nèi)置了處理SQL注入的能力，只要使用它的setString方法傳值即可：

String sql= "select * from users where username=? and password=?;
PreparedStatement preState = conn.prepareStatement(sql);
preState.setString(1, userName);
preState.setString(2, password);
ResultSet rs = preState.executeQuery();

2.采用正則表達(dá)式將包含有 單引號(')，分號(;) 和 注釋符號(--)的語句給替換掉來防止SQL注入

public static String SQL(String str)
{
return str.replaceAll(".*([';]+|(--)+).*", " ");
}
userName=SQL(userName);
password=SQL(password);
String sql="select * from users where username='"+userName+"' and password='"+password+"' "
Statement sta = conn.createStatement();
ResultSet rs = sta.executeQuery(sql);

感謝各位的閱讀！關(guān)于java如何防止sql注入就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！

分享文章：java如何防止sql注入
本文路徑：http://www.jiaotiyi.com/article/iesgps.html