對於整個系統最為重要就資料 了,為了保證資料的完整和正確之外。我們還要防範不正常的查詢和修改,
SQL注入就是從用戶端輸入一些非法特殊的字元,而使伺服器端在構造SQL語句時仍然構造正確 ,從而收集程式和伺服器的資訊或資料。
最為常見是輸入 "1' or '1=1'"
第一種方法比較簡單用正則運算式驗證輸入的字條串,如下:
public Boolean siValiInput(String str){
if(str.matches("[a-zA-Z0-9\x00-\xff]+"))
return true
else
return false;
}
第二種方法是使用PreparedStatement物件,在構造SQL語句時將參數設為「?」,例子如下:
String sqlSTr = "select * from tb_Usef where naem=? and pwd=?"
要設置其中的參數值時就使用PreparedStatement物件的setXxxx()方法。程式會將其中的可疑字串作為一個字串整體來考慮
arrow
arrow
    全站熱搜

    戮克 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄