有两种方法,一种是对登陆的获得的变量进行特殊字符判断
一种是在登陆的时候使用PreparedStatement进行查询,可以有效的方式SQL注入
第一种方法
- package ;
- public class SqlString {
- public static boolean sql_inj(String str) {
- String inj_str = "':and:exec:insert:select:delete:update:count:*:%:chr:mid:master:truncate:char:declare:;:or:-:+:,";
- String inj_stra[] = inj_str.split(":");
- for (int i = 0; i < inj_stra.length; i++) {
- if ((inj_stra[i])!=-1) {
- return false;
- }
- }
- return true;
- }
- }
调用的时候使用如下语句:
boolean f = SqlString.sql_inj(username);
PS:我在网上看过以上代码他们用的分隔符号是“|”但是我在使用的过程中,发现String inj_stra[] = inj_str.split("|");时是把所有字符号都分开了,不是拆分的字符串,而是拆分成字符,我用的JDK1.5,不知道是不是JAVA版本的问题,我查看JDK1.5的API的例子是用的“:”分隔的,所以我也用这个符号分隔,就可以把每个字符串拆分开来。
第二种方法就是查询的时候使用PreparedStatement
- sql="select * from admin where username=? and password=?";
- PreparedStatement psmt= (sql);
- (1,username);
- (2,password);
- ResultSet rs = ();
- if(){
- ();
- ();
- return false;
- }
- else{
-
- ();
- ();
- return true;
- }
这样就可以了