那些遇到过的问题

如何使用SQL查询转义用户提供的参数?

use*_*701 9 java security sql-injection jdbc

尝试开始使用JDBC(使用Jetty + MySQL).我不确定如何在SQL语句中转义用户提供的参数.例:

String username = getDangerousValueFromUser();
Statement stmt = conn.createStatement();
stmt.execute("some statement where username = '" + username + "'"));
Run Code Online (Sandbox Code Playgroud)

在使用声明之前我们如何逃避"用户名"?

Jig*_*shi 16

使用准备好的声明.

例如 : 

con.prepareStatement("update Orders set pname = ? where Prod_Id = ?");
pstmt.setInt(2, 100);
pstmt.setString(1, "Bob");
pstmt.executeUpdate();
Run Code Online (Sandbox Code Playgroud)

它将阻止原始SQL注入

如果要转义sql字符串,请检查StringEscapeUtils.escapeSql().请注意,此方法在Commons Lang 3中已弃用.

另见

  • 寻找相同的答案 - 我的用例是在SQL Server中调用`BULK INSERT`.此语句**不接受批量文件名的参数**.因此,这是SQL参数转义的完全有效的用例.但我同意99.99%的人不知道他们在问什么:).http://stackoverflow.com/questions/4050790/bulk-insert-using-stored-procedure (5认同)
  • @JoachimSauer嗯,当时我确实需要知道如何转义SQL查询的参数,并且对这个答案感到沮丧,因为它与我需要的东西无关(尽管OP问的是同样的事情).因此,不要假设为某人服务或不服务的人,因为很容易忘记并非所有人都做与您习惯的相同类型的编程任务. (2认同)

归档时间:

查看次数:

10259 次

最近记录:

12 年,9 月 前
使用存储过程批量插入 30
使用preparedStatement是否意味着不会有任何SQL注入? 10
更多相关链接
相关归档
为什么我不能在String上使用switch语句? 982
知道为什么我需要将整数文字转换为(int)吗? 122
Android Studio错误的含义:未注释的参数会覆盖@NonNull参数 101
java.sql中的日期时间等价物?(有java.sql.datetime吗?) 62
异常堆栈跟踪中的(未知源) 51
jQuery ajax和SSL? 13
用于教育目的的公共SQL数据库 10
是否有更安全的.Net SQLConnection类替代品? 6
如何从C#中的数据库中获取用户名和密码? 4
是否可以使用clojure.java.jdbc修补从文件中加载SQL语句? 3
难疑归档
Python中追加与扩展列表方法的区别 3119
从Git存储库中删除文件而不从本地文件系统中删除它 2892
如何在JavaScript中将字符串转换为布尔值? 2328
如何让Git忽略文件模式(chmod)的变化? 2188
如何以MS Word保留格式和语法高亮显示代码片段? 1877
你如何改变用matplotlib绘制的数字的大小? 1726
将文件从主机复制到Docker容器 1391
如何在Python中使用线程? 1210
Git:如何在项目提交历史中找到已删除的文件? 1183
如何查看仅一个用户提交的git日志? 1178