就在上周,我正在做一些
PHP的东西.我用了一点解决方案来防止sql注入. PHP一直是我的男人,它有3个解决方案可供使用(也许更多).一个是使用stripslashes()函数启用“魔术查询”.另一个(推荐)是使用MysqL_real_escape_string()函数.
那个简单和我的问题解决了.但是,JSP似乎并不简单.我搜索,没有找到任何内置的功能来剥离斜杠或做这些事情(我相信这样的功能可以使用基本的JAVA功能实现,但…).
那个简单和我的问题解决了.但是,JSP似乎并不简单.我搜索,没有找到任何内置的功能来剥离斜杠或做这些事情(我相信这样的功能可以使用基本的JAVA功能实现,但…).
请帮我保护我的数据库.我听说过PreparedStatement,但真的不能让我的头脑吗? (我感受到新生代的真正意义).
解决方法
只需使用
PreparedStatement而不是
Statement.
即使用
String sql = "INSERT INTO tbl (col1,col2,col3) VALUES (?,?,?)"; preparedStatement = connection.prepareStatement(sql); preparedStatement.setString(1,col1); preparedStatement.setString(2,col2); preparedStatement.setString(3,col3); preparedStatement.executeUpdate();
代替
String sql = "INSERT INTO tbl (col1,col3) VALUES ('" + col1 + "','" + col2 + "','" + col3 + "')";
statement = connection.createStatement();
statement.executeUpdate(sql);
PreparedStatement还为其他类型提供了方便的setter方法,如setInt(),setDate(),setBinaryStream()等.
请注意,此问题与JSP无关.它与Java有关.在JSP类中编写原始Java代码也被认为是poor practice.最佳做法是创建一个独立类,它在特定的表上执行所有的数据库交互任务,也称为DAO(数据访问对象)类.然后,您可以在servlet类中导入/使用此DAO类.
也可以看看:
> Java Tutorials – JDBC Tutorial – PreparedStatement
> Difference between Statement and PreparedStatement
> how to send a ResultSet object in jsp back to html (javascript)?