java后台防止sql注入方法:
1.采用预编译语句集,它内置了处理sql注入的能力,只要使用它的setstring方法传值即可:
string sql= "select * from users where username=? and password=?;preparedstatement prestate = conn.preparestatement(sql);prestate.setstring(1, username);prestate.setstring(2, password);resultset rs = prestate.executequery();
2.采用正则表达式将包含有 单引号('),分号(;) 和 注释符号(--)的语句给替换掉来防止sql注入
public static string sql(string str){return str.replaceall(".*([';]+|(--)+).*", " ");}username=sql(username);password=sql(password);string sql="select * from users where username='"+username+"' and password='"+password+"' "statement sta = conn.createstatement();resultset rs = sta.executequery(sql);
相关推荐:《java教程》
以上就是java怎么防止sql注入?的详细内容。