如何防止SQL注入

伍文 2011-12-09 04:45:17

网站怎么防止这样的事发生，越详细越好，谢谢各问的参与，还有就是如果代码都是能sql加参数的形式，还存在这样的问题吗？

...全文

567 36 打赏收藏转发到动态举报

写回复

用AI写文章

36 条回复

切换为时间正序

请发表友善的回复…

发表回复

loveofmylife 2011-12-14

打赏
举报

绑定变量

伍文 2011-12-14

打赏
举报

我用jsky测试了一下，感觉还行。

zhangjohn55 2011-12-14

打赏
举报

恩，用框架，用jpa的pojo。。就没这种事情了

litiebiao2012 2011-12-14

打赏
举报

PreparedStatement

noCTO 2011-12-14

打赏
举报

我也得看看一下

liwen19840617 2011-12-14

打赏
举报

不要用字符串的拼接，用占位符或者是相应的函数

xaq_by 2011-12-14

打赏
举报

Sql注入漏洞攻击：如1'or'1'='1
使用参数化查询避免
cmd.CommandText="select count(*) from 表名 where username=@a and password=@b";
cmd.parameters.Add(new SqlParameter("a",".."));
cmd.parameters.Add(new SqlParameter("b",".."));

mimimhmh 2011-12-14

打赏
举报

用占位符，或者框架……

dxqrr 2011-12-14

打赏
举报

现在都很少有SQL注入了,你用preparedStatement,就可以
还有就是不要同时查询用户名和密码
而是,先查询用户名,然后获得的密码在和输入的密码比较

laughing__ 2011-12-13

打赏
举报

prepareStatement就可以做到了，不要拼接sql语句就好了

Ade子夜 2011-12-13

打赏
举报

[Quote=引用 16 楼 sxzlc 的回复:]

用prepareStatement就ok了
[/Quote]
ding

伍文 2011-12-13

打赏
举报

谢谢各位，有好的文章也帮忙推荐一下。

不止鱼 2011-12-13

打赏
举报

PrepareStatement或者replace替换字符串

readme1988 2011-12-13

打赏
举报

想要拼接sql语句，用MessageFormat.format("select * from user where name={0}",userName)亦可

wnf2009 2011-12-13

打赏
举报

过滤关键字。。。。
不过想要学习如何防范，首先要学习如何攻击
上次看到一个大牛为了避免引号过滤，把sql语句全部转成16进制提交

伍文 2011-12-13

打赏
举报

[Quote=引用 20 楼 wlf2131 的回复:]
你都知道SQL注入的原理是什么，会有什么样的后果难道还不能防止它？问题是你不知道原理别人写出来也不知道是为了防止SQL注入
[/Quote]
谢谢wlf2131的回答，我从网上查了sql注入的解释，目前明白的程度就是：用客户提供的数据拼接sql语句时，由于用户放也了or and 之类的关键词使sql语句与希望的不一样了。在这个过程中可能导致一些信息泄露。

伍文 2011-12-13