本文介绍了一种通过检查用户输入来防止SQL注入攻击的方法。该方法使用特定的字符串数组进行匹配,确保用户输入不含恶意SQL代码。此外,还讨论了如何正确地在Java中使用特殊字符进行字符串分割。
String myluqu=new String(request.getParameter("textfield").getBytes("iso8859_1"),"utf-8");
//////////////////////////////////////
String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,|=";
String inj_stra[] = inj_str.split("\\|");
for (int i=0;i<inj_stra.length;i++)
{
//out.print(inj_stra[i]);
//out.print(myluqu.indexOf(inj_stra[i]));
if (myluqu.indexOf(inj_stra[i])!=-1)
{
out.print("请不要输入非法字符");
return;
}
}
//////////////////////////////////////
在网上代码的基础上做了改良,没写javabean,直接用
如果嵌入jsp代码里写,最大的区别是
String inj_stra[] = inj_str.split("\\|");
查了资料
以"." 、""、“|”分割字符串,直接用"." 、""、“|”无法分割,因为"." 、""、“|”是特殊字符,需要转义,"\." 、"\"、“\|”。
测试的办法 文本框输入 qqq’ or ‘h’=‘h’ # 看是否有结果
扫一扫
131
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
