java怎样防备sql注入？【JAVA教程】,java,防止sql注入

SQL注入是比较罕见的收集进击方式之一，它不是应用操作系统的BUG来完成进击，而是针对程序员编程时的忽视，经由过程SQL语句，完成无帐号登录，以至改动数据库。

下面我们给人人引见java背景防备sql注入的两种要领

1.采纳预编译语句集，它内置了处置惩罚SQL注入的才能，只需使用它的setString要领传值即可：

String sql= "select * from users where username=? and password=?;
PreparedStatement preState = conn.prepareStatement(sql);
preState.setString(1, userName);
preState.setString(2, password);
ResultSet rs = preState.executeQuery();

2.采纳正则表达式将包括有单引号(')，分号(;) 和解释标记(--)的语句给替换掉来防备SQL注入

public static String SQL(String str)
{
return str.replaceAll(".*([';]+|(--)+).*", " ");
}
userName=SQL(userName);
password=SQL(password);
String sql="select * from users where username='"+userName+"' and password='"+password+"' "
Statement sta = conn.createStatement();
ResultSet rs = sta.executeQuery(sql);

相干引荐：《Java教程》