java – 如何防止SQL注入在JSP中?
发布时间:2020-12-14 05:39:50 所属栏目:Java 来源:网络整理
导读:就在上周,我正在做一些 PHP的东西.我用了一点解决方案来防止SQL注入. PHP一直是我的男人,它有3个解决方案可供使用(也许更多).一个是使用stripslashes()函数启用“魔术查询”.另一个(推荐)是使用mysql_real_escape_string()函数. 那个简单和我的问题解决了.但
|
就在上周,我正在做一些
PHP的东西.我用了一点解决方案来防止SQL注入. PHP一直是我的男人,它有3个解决方案可供使用(也许更多).一个是使用stripslashes()函数启用“魔术查询”.另一个(推荐)是使用mysql_real_escape_string()函数.
那个简单和我的问题解决了.但是,JSP似乎并不简单.我搜索,没有找到任何内置的功能来剥离斜杠或做这些事情(我相信这样的功能可以使用基本的JAVA功能实现,但…). 请帮我保护我的数据库.我听说过PreparedStatement,但真的不能让我的头脑吗? (我感受到新生代的真正意义). 解决方法
只需使用
PreparedStatement而不是
Statement.
即使用 String sql = "INSERT INTO tbl (col1,col2,col3) VALUES (?,?,?)"; preparedStatement = connection.prepareStatement(sql); preparedStatement.setString(1,col1); preparedStatement.setString(2,col2); preparedStatement.setString(3,col3); preparedStatement.executeUpdate(); 代替 String sql = "INSERT INTO tbl (col1,col3) VALUES ('" + col1 + "','" + col2 + "','" + col3 + "')";
statement = connection.createStatement();
statement.executeUpdate(sql);
PreparedStatement还为其他类型提供了方便的setter方法,如setInt(),setDate(),setBinaryStream()等. 请注意,此问题与JSP无关.它与Java有关.在JSP类中编写原始Java代码也被认为是poor practice.最佳做法是创建一个独立类,它在特定的表上执行所有的数据库交互任务,也称为DAO(数据访问对象)类.然后,您可以在servlet类中导入/使用此DAO类. 也可以看看: > Java Tutorials – JDBC Tutorial – PreparedStatement (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |