一尘不染

Java-转义字符串以防止SQL注入

java

我试图在Java中放置一些反SQL注入,并发现使用“ replaceAll”字符串函数非常困难。最后,我需要,将转换现有的功能\ to \\, any " to \", any ' to \', and any \n to \\n使得当字符串由MySQL的SQL注入评估将被阻止。

我已经整理了一些正在使用的代码,并且\\\\\\\\\\\该函数中的所有内容都使我大失所望。如果有人碰巧有这个例子,我将不胜感激。


阅读 1082

收藏
2020-02-27

共1个答案

一尘不染

PreparedStatement是可行的方法,因为它们使SQL注入成为不可能。这是一个简单的示例,将用户的输入作为参数:

public insertUser(String name, String email) {
   Connection conn = null;
   PreparedStatement stmt = null;
   try {
      conn = setupTheDatabaseConnectionSomehow();
      stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
      stmt.setString(1, name);
      stmt.setString(2, email);
      stmt.executeUpdate();
   }
   finally {
      try {
         if (stmt != null) { stmt.close(); }
      }
      catch (Exception e) {
         // log this error
      }
      try {
         if (conn != null) { conn.close(); }
      }
      catch (Exception e) {
         // log this error
      }
   }
}

无论名称和电子邮件中包含什么字符,这些字符都将直接放置在数据库中。它们不会以任何方式影响INSERT语句。

对于不同的数据类型,有不同的设置方法-使用哪种方法取决于数据库字段是什么。例如,如果数据库中有一个INTEGER列,则应使用一个setInt方法。 PreparedStatement文档列出了可用于设置和获取数据的所有不同方法。

2020-02-27