我试图在java中放置一些反sql注入,并且发现使用“replaceAll”字符串函数非常困难。最终,我需要一个函数,它将任何现有转换为,任何到,任何到,以及任何到,以便在MySQL SQL注入计算字符串时将被阻止。\\\"\"'\'\n\\n
我已经添加了一些我正在使用的代码,函数中的所有代码都让我的眼睛发疯了。如果有人碰巧有这样的例子,我将不胜感激。\\\\\\\\\\\
PreparedStatements是要走的路,因为它们使SQL注入变得不可能。下面是一个以用户输入作为参数的简单示例:
public insertUser(String name, String email) {
Connection conn = null;
PreparedStatement stmt = null;
try {
conn = setupTheDatabaseConnectionSomehow();
stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
stmt.setString(1, name);
stmt.setString(2, email);
stmt.executeUpdate();
}
finally {
try {
if (stmt != null) { stmt.close(); }
}
catch (Exception e) {
// log this error
}
try {
if (conn != null) { conn.close(); }
}
catch (Exception e) {
// log this error
}
}
}
无论姓名和电子邮件中有什么字符,这些字符都将直接放在数据库中。它们不会以任何方式影响 INSERT 语句。
对于不同的数据类型,有不同的设置方法 - 使用哪种方法取决于数据库字段是什么。例如,如果数据库中有一个 INTEGER 列,则应使用方法。PreparedStatement 文档列出了可用于设置和获取数据的所有不同方法。setInt
防止 SQL 注入的唯一方法是使用参数化 SQL。根本不可能构建一个比以破解SQL为生的人更聪明的过滤器。
因此,对所有输入、更新和 where 子句使用参数。动态 SQL 只是黑客的一扇敞开的大门,其中包括存储过程中的动态 SQL。参数化、参数化、参数化。
