空间管理您的位置: 51Testing软件测试网 » 安然美的个人空间 » 日志

防止sql注入的方法

上一篇 / 下一篇 2014-10-16 21:52:18

查看( 496 ) / 评论( 0 ) / 评分( 0 / 0 )

用户名输入  a' or 1 = 1
密码： b' or 1 = 1

防止
1）参数化
2）过滤掉注入字符，如or --

追问

请问怎么防止，能给与一些代码吗？感谢

回答

1) 参数化是最有效的办法
java
stmt.setInt(j++, xxx);
stmt.setString(j++, xxx);
stmt.setDouble(j++, xxxx);

2) 当你传递参数的时候，自动过滤掉里面的敏感字符
通常为replace(str, '--', ''),
replace(str, "delete', ''),
replace(str, ' or 1=1', '')

sql注入只能防止，不能100%过滤掉的

TAG:

查看全部评论