java防止sql注入的方法

這篇文章主要介紹了java防止sql注入的方法，具有一定借鑒價(jià)值，需要的朋友可以參考下。希望大家閱讀完這篇文章后大有收獲。下面讓小編帶著大家一起了解一下。

SQL注入是比較常見的網(wǎng)絡(luò)攻擊方式之一。它不是利用操作系統(tǒng)的BUG來實(shí)現(xiàn)攻擊，而是針對程序員編程時(shí)的疏忽，被不法用戶鉆了SQL的空子，通過SQL語句，實(shí)現(xiàn)無帳號登錄，甚至篡改數(shù)據(jù)庫。下面本篇就來給大家介紹幾種java防止sql注入的方法，希望對你們有所幫助。

java防SQL注入，最簡單的辦法是杜絕SQL拼接。SQL注入攻擊能得逞是因?yàn)樵谠蠸QL語句中加入了新的邏輯，如果使用PreparedStatement來代替Statement來執(zhí)行SQL語句，其后只是輸入?yún)?shù)，SQL注入攻擊手段將無效。

下面我們就來看看java防SQL注入的方法：

1、采用預(yù)編譯語句集，它內(nèi)置了處理SQL注入的能力，只要使用它的setString方法傳值即可：

String sql= "select * from users where username=? and password=?;
PreparedStatement preState = conn.prepareStatement(sql);
preState.setString(1, userName);
preState.setString(2, password);
ResultSet rs = preState.executeQuery();

2、采用正則表達(dá)式將包含有 單引號(')，分號(;) 和 注釋符號(--)的語句給替換掉來防止SQL注入。例：

public static String SQL(String str)
{
return str.replaceAll(".*([';]+|(--)+).*", " ");
}
userName=SQL(userName);
password=SQL(password);
String sql="select * from users where username='"+userName+"' and password='"+password+"' "
Statement sta = conn.createStatement();
ResultSet rs = sta.executeQuery(sql);

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享java防止sql注入的方法內(nèi)容對大家有幫助，同時(shí)也希望大家多多支持億速云，關(guān)注億速云行業(yè)資訊頻道，遇到問題就找億速云，詳細(xì)的解決方法等著你來學(xué)習(xí)!