对于防止SQL注入的研究（JAVA代码实现）

有两种方法，一种是对登陆的获得的变量进行特殊字符判断

一种是在登陆的时候使用PreparedStatement进行查询，可以有效的方式SQL注入

第一种方法

SqlString.java

package com.test.util;

public class SqlString {

public static boolean sql_inj(String str) {

String inj_str = "':and:exec:insert:select:delete:update:count:*:%:chr:mid:master:truncate:char:declare:;:or:-:+:,";

String inj_stra[] = inj_str.split(":");

for (int i = 0; i < inj_stra.length; i++) {

if (str.indexOf(inj_stra[i])!=-1) {

return false;

}

}

return true;

}

}

调用的时候使用如下语句：

boolean f = SqlString.sql_inj(username);

PS：我在网上看过以上代码他们用的分隔符号是“|”但是我在使用的过程中，发现String inj_stra[] = inj_str.split("|");时是把所有字符号都分开了，不是拆分的字符串，而是拆分成字符，我用的JDK1.5，不知道是不是JAVA版本的问题，我查看JDK1.5的API的例子是用的“:”分隔的，所以我也用这个符号分隔，就可以把每个字符串拆分开来。

第二种方法就是查询的时候使用PreparedStatement

sql="select * from admin where username=? and password=?";

PreparedStatement psmt= con.prepareStatement(sql);

psmt.setString(1,username);

psmt.setString(2,password);

ResultSet rs = psmt.executeQuery();

if(rs.next){

rs.close();

con.close();

return false;

}

else{

rs.close();

con.close();

return true;

}

这样就可以了