防止SQL注入（JAVA代码实现）

转:http://blog.csdn.net/h72001346/archive/2008/12/05/3450396.aspx

有两种方法，一种是对登陆的获得的变量进行特殊字符判断

一种是在登陆的时候使用PreparedStatement进行查询，可以有效的方式SQL注入

第一种方法

public static boolean sql_inj(String str){    String inj_str = "':and:exec:insert:select:delete:update:count:*:%:chr:mid:master:truncate:char:declare:;:or:-:+:,";    String inj_stra[] = inj_str.split(":");    for (int i = 0; i < inj_stra.length; i++)    {        if (str.indexOf(inj_stra[i]) != -1)        {            return false;        }    }    return true;}

调用的时候使用如下语句：

boolean f = SqlString.sql_inj(username);

PS：我在网上看过以上代码他们用的分隔符号是“|”但是我在使用的过程中，发现String inj_stra[] = inj_str.split("|");时是把所有字符号都分开了，不是拆分的字符串，而是拆分成字符，我用的JDK1.5，不知道是不是JAVA版本的问题，我查看JDK1.5的API的例子是用的“:”分隔的，所以我也用这个符号分隔，就可以把每个字符串拆分开来。

第二种方法就是查询的时候使用PreparedStatement

public static boolean sql_ps(Connection con, String username, String password) throws SQLException{    String sql = "select * from admin where username=? and password=?";    PreparedStatement psmt = con.prepareStatement(sql);    psmt.setString(1, username);    psmt.setString(2, password);    ResultSet rs = psmt.executeQuery();    if (rs.next())    {        rs.close();        con.close();        return false;    } else    {        rs.close();        con.close();        return true;    }}