qileilove

blog已经转移至github,大家请访问 http://qaseven.github.io/

JSP网页防止sql注入攻击

  SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
  prepareStatement方法是防止sql注入的简单有效手段
  preparedStatement和statement的区别
  1、preparedStatement是statement的子方法
  2、preparedStatement可以防止sql注入的问题
  3、preparedStatement它可以对它所代表的sql语句进行预编译,以减轻服务器压力
  实例如下 
public User find(String username, String password) {
Connection conn = null;
PreparedStatement st = null;
ResultSet rs = null;
try{
conn = JdbcUtils.getConnection();
String sql = "select * from users where username=? and password=?";
st = conn.prepareStatement(sql);
st.setString(1, username);
st.setString(2, password);
rs = st.executeQuery(); //
if(rs.next()){
User user = new User();
user.setId(rs.getString("id"));
user.setUsername(rs.getString("username"));
user.setPassword(rs.getString("password"));
user.setEmail(rs.getString("email"));
user.setBirthday(rs.getDate("birthday"));
return user;
}
return null;
}catch (Exception e) {
throw new DaoException(e);
}finally{
JdbcUtils.release(conn, st, rs);
}

posted on 2014-06-03 09:58 顺其自然EVO 阅读(412) 评论(1)  编辑  收藏

评论

# re: JSP网页防止sql注入攻击 2014-06-04 09:44 IT前线

就是最基本的防注入呀,标题加了jsp,还以为是什么妖孽程序呢
http://www.itqx.net  回复  更多评论   


只有注册用户登录后才能发表评论。


网站导航:
 
<2014年6月>
25262728293031
1234567
891011121314
15161718192021
22232425262728
293012345

导航

统计

常用链接

留言簿(55)

随笔分类

随笔档案

文章分类

文章档案

搜索

最新评论

阅读排行榜

评论排行榜