关于Java防SQL注入的方法研究

一种是对登陆的获得的变量进行特殊字符判断

一种是在登陆的时候使用PreparedStatement进行查询，可以有效的方式SQL注入

在说如何防止之前首先我先说一下造成SQL注入的原因是因为程序员书写的原因 

一般来说SQL注入很多时候都是SQL语句拼接造成的。

方法一：

//过滤 ‘
//ORACLE 注解 --  /**/
//关键字过滤 update ,delete 
static String reg = "(?:")|(?:--)|(/\*(?:.|[\n\r])*?\*/)|"+ "(\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\b)";
static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);
/**
 * 参数校验
 * 
 * @param str
 */
public static void isValid(String str) {
	if (sqlPattern.matcher(str).find()) {
		logger.error("未能通过过滤器：p=" + p);
		return false;
	}
	return true;
}

使用方法：直接调用

第二种方法就是查询的时候使用PreparedStatement

sql="select * from admin where username=? and password=?";
PreparedStatement psmt= con.prepareStatement(sql);
psmt.setString(1,username);
psmt.setString(2,password);
ResultSet rs = psmt.executeQuery();
if(rs.next){
rs.close();
con.close();
return false;
}
else{
rs.close();
con.close();
return true;
}

PS： 个人关于SQL注入理解，SQL注入造成的原因其实就是SQL语句的拼接造成的。所以不要使用拼接字符串的方式来拼接SQL