那些遇到过的问题

修改代码以防止SQL注入

Paw*_*wan 1 jdbc

SQL注入的示例

以下用于执行登录功能的Java servlet代码通过接受用户输入来说明漏洞,而无需执行足够的输入验证或转义元字符:

String sql = "select * from user where username='" + username +"' and password='" + password + "'";
stmt = conn.createStatement();
rs = stmt.executeQuery(sql);
if (rs.next()) {
loggedIn = true;
    out.println("Successfully logged in");
} else {
    out.println("Username and/or password not recognized");
}
Run Code Online (Sandbox Code Playgroud)

================

现在请告诉我如何修改此代码,以便它不受SQL注入

SLa*_*aks 5

您需要使用PreparedStatement该类并添加参数.

请参阅文档.

归档时间:

查看次数:

601 次

最近记录:

11 年,5 月 前
相关归档
java.sql.Timestamp时区是否具体? 74
在Java中处理MySQL日期时间和时间戳 57
如何使用java设置完整的日期和时间sql,而不仅仅是日期? 23
如何在没有 SELECT 的情况下调用 postgres 中的函数? 7
以编程方式检查JDBC中的开放连接 6
Oracle JDBC 7作为Maven依赖项 6
带有oracle NUMBER类型的jdbc预处理语句 5
Hibernate Spatial:"JDBC类型的无方言映射:3000" 3
结果集和语句未在java中关闭的效果 1
Java/JDBC/Sybase登录失败-JZ00L 1
难疑归档
使用__init __()方法理解Python super() 2366
PHP:从数组中删除元素 2362
JavaScript中的'new'关键字是什么? 1684
如何在Vim中进行不区分大小写的搜索 1579
如何在所有浏览器中控制网页缓存? 1474
为什么在允许某些Unicode字符的注释中执行Java代码? 1326
为什么有两种方法可以在Git中取消暂存文件? 1109
jQuery从下拉列表中获取选定的选项 1067
如何查找Python中是否存在目录 1048
如何在psql中切换数据库? 1029