我的日常

登录/注册
您现在的位置:论坛 盖世程序员(我猜到了开头 却没有猜到结局) 盖世程序员 > jsp页面如何防止注入
总共48086条微博

动态微博

查看: 1609|回复: 0

jsp页面如何防止注入

[复制链接]

326

主题

72

听众

999

金钱

实习版主

该用户从未签到

优秀版主

跳转到指定楼层
楼主
发表于 2014-04-20 17:41:46 |只看该作者 |倒序浏览

SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。

  prepareStatement方法是防止sql注入的简单有效手段

  preparedStatement和statement的区别

  1、preparedStatement是statement的子方法

  2、preparedStatement可以防止sql注入的问题

  3、preparedStatement它可以对它所代表的sql语句进行预编译,以减轻服务器压力

  实例如下:

  public User find(String username, String password) {

  Connection conn = null;

  PreparedStatement st = null;

  ResultSet rs = null;

  try{

  conn = JdbcUtils.getConnection();

  String sql = "select * from users where username=? and password=?";

  st = conn.prepareStatement(sql);

  st.setString(1, username);

  st.setString(2, password);

  rs = st.executeQuery();  //

  if(rs.next()){

  User user = new User();

  user.setId(rs.getString("id"));

  user.setUsername(rs.getString("username"));

  user.setPassword(rs.getString("password"));

  user.setEmail(rs.getString("email"));

  user.setBirthday(rs.getDate("birthday"));

  return user;

  }

  return null;

  }catch (Exception e) {

  throw new DaoException(e);

  }finally{

  JdbcUtils.release(conn, st, rs);

  }

  }

/ i# J1 x6 S8 T$ U

科帮网 1、本主题所有言论和图片纯属会员个人意见,与本社区立场无关
2、本站所有主题由该帖子作者发表,该帖子作者与科帮网享有帖子相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和科帮网的同意
4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、科帮网管理员和版主有权不事先通知发贴者而删除本文


JAVA爱好者①群:JAVA爱好者① JAVA爱好者②群:JAVA爱好者② JAVA爱好者③ : JAVA爱好者③

快速回复
您需要登录后才可以回帖 登录 | 立即注册

   

关闭

站长推荐上一条 /1 下一条

发布主题 快速回复 返回列表 联系我们 官方QQ群 科帮网手机客户端
快速回复 返回顶部 返回列表