有兩種方法,一種是對登陸的獲得的變數進行特殊字元判斷
一種是在登陸的時候使用PreparedStatement進行查詢,可以有效方式SQL注入
第一種方法
SqlString.java
- package com.test.util;
- public class SqlString {
- public static boolean sql_inj(String str) {
- String inj_str = "':and:exec:insert:select:delete:update:count:*:%:chr:mid:master:truncate:char:declare:;:or:-:+:,";
- String inj_stra[] = inj_str.split(":");
- for (int i = 0; i < inj_stra.length; i++) {
- if (str.indexOf(inj_stra[i])!=-1) {
- return false;
- }
- }
- return true;
- }
- }
調用的時候使用如下語句:
boolean f = SqlString.sql_inj(username);
PS:我在網上看過以上代碼他們用的分隔字元號是“|”但是我在使用的過程中,發現String inj_stra[] = inj_str.split("|");時是把所有字元號都分開了,不是拆分的字串,而是拆分成字元,我用的JDK1.5,不知道是不是JAVA版本的問題,我查看JDK1.5的API的例子是用的“:”分隔的,所以我也用這個符號分隔,就可以把每個字串拆分開來。
第二種方法就是查詢的時候使用PreparedStatement
- sql="select * from admin where username=? and password=?";
- PreparedStatement psmt= con.prepareStatement(sql);
- psmt.setString(1,username);
- psmt.setString(2,password);
- ResultSet rs = psmt.executeQuery();
- if(rs.next){
- rs.close();
- con.close();
- return false;
- }
- else{
- rs.close();
- con.close();
- return true;
- }
這樣就可以了
