对于防止SQL注入的研究(JAVA代码实现)
2008-12-05 09:43
597 查看
有两种方法,一种是对登陆的获得的变量进行特殊字符判断
一种是在登陆的时候使用PreparedStatement进行查询,可以有效的方式SQL注入
第一种方法
SqlString.java
package com.test.util;
public class SqlString {
public static boolean sql_inj(String str) {
String inj_str = "':and:exec:insert:select:delete:update:count:*:%:chr:mid:master:truncate:char:declare:;:or:-:+:,";
String inj_stra[] = inj_str.split(":");
for (int i = 0; i < inj_stra.length; i++) {
if (str.indexOf(inj_stra[i])!=-1) {
return false;
}
}
return true;
}
}
调用的时候使用如下语句:
boolean f = SqlString.sql_inj(username);
PS:我在网上看过以上代码他们用的分隔符号是“|”但是我在使用的过程中,发现String inj_stra[] = inj_str.split("|");时是把所有字符号都分开了,不是拆分的字符串,而是拆分成字符,我用的JDK1.5,不知道是不是JAVA版本的问题,我查看JDK1.5的API的例子是用的“:”分隔的,所以我也用这个符号分隔,就可以把每个字符串拆分开来。
第二种方法就是查询的时候使用PreparedStatement
sql="select * from admin where username=? and password=?";
PreparedStatement psmt= con.prepareStatement(sql);
psmt.setString(1,username);
psmt.setString(2,password);
ResultSet rs = psmt.executeQuery();
if(rs.next){
rs.close();
con.close();
return false;
}
else{
rs.close();
con.close();
return true;
}
这样就可以了
一种是在登陆的时候使用PreparedStatement进行查询,可以有效的方式SQL注入
第一种方法
SqlString.java
package com.test.util;
public class SqlString {
public static boolean sql_inj(String str) {
String inj_str = "':and:exec:insert:select:delete:update:count:*:%:chr:mid:master:truncate:char:declare:;:or:-:+:,";
String inj_stra[] = inj_str.split(":");
for (int i = 0; i < inj_stra.length; i++) {
if (str.indexOf(inj_stra[i])!=-1) {
return false;
}
}
return true;
}
}
调用的时候使用如下语句:
boolean f = SqlString.sql_inj(username);
PS:我在网上看过以上代码他们用的分隔符号是“|”但是我在使用的过程中,发现String inj_stra[] = inj_str.split("|");时是把所有字符号都分开了,不是拆分的字符串,而是拆分成字符,我用的JDK1.5,不知道是不是JAVA版本的问题,我查看JDK1.5的API的例子是用的“:”分隔的,所以我也用这个符号分隔,就可以把每个字符串拆分开来。
第二种方法就是查询的时候使用PreparedStatement
sql="select * from admin where username=? and password=?";
PreparedStatement psmt= con.prepareStatement(sql);
psmt.setString(1,username);
psmt.setString(2,password);
ResultSet rs = psmt.executeQuery();
if(rs.next){
rs.close();
con.close();
return false;
}
else{
rs.close();
con.close();
return true;
}
这样就可以了
相关文章推荐
- 防止SQL注入(JAVA代码实现)
- Java实现仿淘宝滑动验证码研究代码详解
- PHP中防止SQL注入实现代码
- 对一致性Hash算法,Java代码实现的深入研究
- 对一致性Hash算法,java代码实现的深入研究
- 【转载】对一致性Hash算法,Java代码实现的深入研究
- 数据库SqlParameter 的插入操作,防止sql注入的实现代码
- 对一致性Hash算法,Java代码实现的深入研究
- PHP中防止SQL注入实现代码
- 【代码实现】防止SQL注入解决办法
- 对一致性Hash算法,Java代码实现的深入研究
- 对一致性Hash算法,Java代码实现的深入研究
- 对一致性Hash算法,Java代码实现的深入研究(转)
- 对一致性Hash算法,Java代码实现的深入研究
- PHP防止SQL注入的实现代码
- 对一致性Hash算法,Java代码实现的深入研究
- 对一致性Hash算法,Java代码实现的深入研究
- 对一致性Hash算法,Java代码实现的深入研究
- 对一致性Hash算法,Java代码实现的深入研究
- 防止PHP中SQL注入实现代码