qileilove

blog已经转移至github,大家请访问 http://qaseven.github.io/

JSP网页防止sql注入攻击

　　SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。
　　prepareStatement方法是防止sql注入的简单有效手段
　　preparedStatement和statement的区别
　　1、preparedStatement是statement的子方法
　　2、preparedStatement可以防止sql注入的问题
　　3、preparedStatement它可以对它所代表的sql语句进行预编译，以减轻服务器压力
　　实例如下
public User find（String username, String password） {
Connection conn = null;
PreparedStatement st = null;
ResultSet rs = null;
try{
conn = JdbcUtils.getConnection（）；
String sql = "select * from users where username=? and password=?";
st = conn.prepareStatement（sql）；
st.setString（1, username）；
st.setString（2, password）；
rs = st.executeQuery（）； //
if（rs.next（））{
User user = new User（）；
user.setId（rs.getString（"id"））；
user.setUsername（rs.getString（"username"））；
user.setPassword（rs.getString（"password"））；
user.setEmail（rs.getString（"email"））；
user.setBirthday（rs.getDate（"birthday"））；
return user;
}
return null;
}catch （Exception e） {
throw new DaoException（e）；
}finally{
JdbcUtils.release（conn, st, rs）；
}
}

posted on 2014-06-03 09:58 顺其自然EVO 阅读(407) 评论(1) 编辑收藏

评论

# re: JSP网页防止sql注入攻击 2014-06-04 09:44 IT前线

就是最基本的防注入呀，标题加了jsp,还以为是什么妖孽程序呢
http://www.itqx.net 回复更多评论

新用户注册刷新评论列表


只有注册用户登录后才能发表评论。




网站导航: 博客园 IT新闻知识库 C++博客博问管理

2014年6月

日

一

二

三

四

五

六

25

26

27

28

29

30

31

1

2

6

7

8

14

15

19

21

22

23

24

26

27

28

29

1

2

3

4

5

导航

统计

随笔 - 3936
文章 - 404
评论 - 179
引用 - 0

常用链接

留言簿(55)

随笔分类

随笔档案

文章分类

文章档案

搜索

最新评论

1. re: 关于Loadrunner12的测试总结
@雪
我也碰到了类似问题，请问你的问题解决了吗？
-- 万
2. re: 使用 JUnit 进行 Java 代码的单元测试[未登录]
test
--carry
3. re: 一个软件测试工程师的成长日记（连载一）[未登录]
真好
--哈哈
4. re: 移动端与服务器端数据库同步
这个到底是怎么弄呢？期待更详细的内容
--大太阳
5. re: 移动端与服务器端数据库同步
dwd
--ののswd

阅读排行榜

评论排行榜