如何屏蔽引号

qiheia 2009-05-10 10:46:49

有些黑客，利用SQL的注入漏洞来入侵网站，

有什么好的方法可以防止SQL的注入漏洞呢？

有的人说屏蔽引号，这又是怎么做到得呢？

...全文

94 7 打赏收藏转发到动态举报

写回复

用AI写文章

7 条回复

切换为时间正序

请发表友善的回复…

发表回复

火龙果被占用了 2009-05-11

打赏
举报

不会吧，如果在 Hibernate 中是拼接 HQL/SQL 语句的话同样会引起 SQL 注入的漏洞。

不管使用 JDBC 还是 Hibernate 或者 iBatis, JPA 都应采用占位符，而不是采用拼接的方式，
这样做的好处（也就是 PreparedStatement 较之于 Statement 的优势）：

1，采用 PreparedStatement 占位符 ? 的方式，可以有效地防止 SQL 注入攻击；
2，采用占位符形式，在代码上有良好的可读性，特别是在字符串条件比较多的时候，如果采用拼接 SQL 法，
单引号会让人晕掉；
3，采用占位符的形式，由于是数据库先将 SQL 编译之后，再设置值的，这样可以让数据库对 SQL 进行缓存，
以提高 SQL 执行的效率。采用拼接法，由于每次执行的条件值不一样，这样数据库每次都得去编译 SQL，
数据库没有办法对 SQL 进行缓存处理。

lgq_0714 2009-05-11

打赏
举报

使用Statement是不安全的容易引起SQL注入问题，
因为Statement执行的是静态的SQL语句（String sql=”select * from user where username=’”+username+”’ and password=’”+password+”’”）Username和password都等于1’ or ‘1’=’1这样任何情况下都是正确的）
方法一：对参数进行检测
方法二：使用PreparedStatement对象，在构造SQL语句的书后使用预编译的方法
String SQL=”select * from user where username=? and password=? ”;
这样他就会将其中的可以字符作为一个字符串整体来考虑，而不会和SQL语句连接起来作为一个SQL语句组合