我试图在java中放置一些反sql注入,但发现使用“replaceAll”字符串函数非常困难。最终我需要一个函数来转换任何现有的\ to \\, any " to \", any ' to \',以及任何\n to \\n这样当 MySQL 评估该字符串时,SQL 注入就会被阻止。
我已经提取了一些我正在使用的代码以及所有\\\\\\\\\\\功能让我眼花缭乱。如果有人碰巧有这样的例子,我将不胜感激。
PreparedStatements 是正确的选择,因为它们使 SQL 注入变得不可能。这是一个以用户输入作为参数的简单示例:
public insertUser(String name, String email) {
Connection conn = null;
PreparedStatement stmt = null;
try {
conn = setupTheDatabaseConnectionSomehow();
stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
stmt.setString(1, name);
stmt.setString(2, email);
stmt.executeUpdate();
}
finally {
try {
if (stmt != null) { stmt.close(); }
}
catch (Exception e) {
// log this error
}
try {
if (conn != null) { conn.close(); }
}
catch (Exception e) {
// log this error
}
}
}
无论姓名和电子邮件中包含什么字符,这些字符都将直接放入数据库中。它们不会以任何方式影响 INSERT 语句。
不同的数据类型有不同的设置方法——您使用哪一种取决于您的数据库字段是什么。例如,如果数据库中有一个 INTEGER 列,则应该使用setInt方法。PreparedStatement 文档列出了可用于设置和获取数据的所有不同方法。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
