我试图在java中放置一些反SQL注入,但我发现使用"replaceAll"字符串函数非常困难.最终,我需要一个函数来转换任何现有的\到\\,任何"到\",任何'到\',和任何\n到\\n,这样当字符串通过MySQL求值时,SQL注入将被阻止.
我用千斤顶顶起了一些我正在使用的代码,函数中的\\\\\\\\\\\个代码都让我眼花缭乱.如果有人碰巧有这样的例子,我将不胜感激.
我试图在java中放置一些反SQL注入,但我发现使用"replaceAll"字符串函数非常困难.最终,我需要一个函数来转换任何现有的\到\\,任何"到\",任何'到\',和任何\n到\\n,这样当字符串通过MySQL求值时,SQL注入将被阻止.
我用千斤顶顶起了一些我正在使用的代码,函数中的\\\\\\\\\\\个代码都让我眼花缭乱.如果有人碰巧有这样的例子,我将不胜感激.
PreparedStatement是可行的方法,因为它们使SQL注入变得不可能.下面是一个将用户的输入作为参数的简单示例:
public insertUser(String name, String email) {
Connection conn = null;
PreparedStatement stmt = null;
try {
conn = setupTheDatabaseConnectionSomehow();
stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
stmt.setString(1, name);
stmt.setString(2, email);
stmt.executeUpdate();
}
finally {
try {
if (stmt != null) { stmt.close(); }
}
catch (Exception e) {
// log this error
}
try {
if (conn != null) { conn.close(); }
}
catch (Exception e) {
// log this error
}
}
}
无论名称和邮箱中是什么字符,这些字符都将直接放入数据库中.它们不会以任何方式影响INSERT语句.
对于不同的数据类型,有不同的设置方法--您使用哪种方法取决于您的数据库字段是什么.例如,如果数据库中有一个整型列,则应使用setInt方法.The PreparedStatement documentation列出了可用于设置和获取数据的所有不同方法.