java - Java - 转义字符串以防止 SQL 注入

Java - 转义字符串以防止 SQL 注入

我试图在 java 中放置一些反 sql 注入，但发现很难使用“replaceAll”字符串函数。 Ultimately I need a function that will convert any existing \ to \\ , any " to \" , any ' 至 \' 和任何 \n 至 \\n 以便当字符串被 MySQL SQL 注入评估时将被阻止。

我已经提取了一些我正在使用的代码，函数中的所有 \\\\\\\\\\\ 让我眼花缭乱。如果有人碰巧有这方面的例子，我将不胜感激。

原文由 Scott Bonner 发布，翻译遵循 CC BY-SA 4.0 许可协议

阅读 805

PreparedStatements 是要走的路，因为它们使 SQL 注入变得不可能。这是一个将用户输入作为参数的简单示例：

 public insertUser(String name, String email) {
   Connection conn = null;
   PreparedStatement stmt = null;
   try {
      conn = setupTheDatabaseConnectionSomehow();
      stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
      stmt.setString(1, name);
      stmt.setString(2, email);
      stmt.executeUpdate();
   }
   finally {
      try {
         if (stmt != null) { stmt.close(); }
      }
      catch (Exception e) {
         // log this error
      }
      try {
         if (conn != null) { conn.close(); }
      }
      catch (Exception e) {
         // log this error
      }
   }
}

不管name和email是什么字符，这些字符都会直接放到数据库中。它们不会以任何方式影响 INSERT 语句。

不同的数据类型有不同的设置方法——您使用哪种方法取决于您的数据库字段是什么。例如，如果数据库中有一个 INTEGER 列，则应使用 setInt 方法。 PreparedStatement 文档列出了可用于设置和获取数据的所有不同方法。

原文由 Kaleb Brasee 发布，翻译遵循 CC BY-SA 3.0 许可协议

Java - 转义字符串以防止 SQL 注入

你尚未登录，登录后可以

小网站有必要将图片放到阿里云OSS存储吗？

Spring中的两个疑惑?

求java/php大佬帮帮忙？

springboot业务代码能否动态加载和更新？

Java实例变量默认值赋值时机是什么时候？

java连redis-sentinel连不上,接下来如何排查?

(10元)为什么UTF8的TXT文件存入SQLite后大小增加近三倍？

Stack Overflow 翻译