jdbc PreparedStatement 防止sql注入的关键代码片段

mysql-connector-java-5.1.38.jar

PreparedStatement 的 setString(int parameterIndex, String x) 方法

for (int i = 0; i < stringLength; ++i) {
    char c = x.charAt(i);

    switch (c) {
        case 0: /* Must be escaped for 'mysql' */
            buf.append('\\');
            buf.append('0');

            break;

        case '\n': /* Must be escaped for logs */
            buf.append('\\');
            buf.append('n');

            break;

        case '\r':
            buf.append('\\');
            buf.append('r');

            break;

        case '\\':
            buf.append('\\');
            buf.append('\\');

            break;

        case '\'':
            buf.append('\\');
            buf.append('\'');

            break;

        case '"': /* Better safe than sorry */
            if (this.usingAnsiMode) {
                buf.append('\\');
            }

            buf.append('"');

            break;

        case '\032': /* This gives problems on Win32 */
            buf.append('\\');
            buf.append('Z');

            break;

        case '\u00a5':
        case '\u20a9':
            // escape characters interpreted as backslash by mysql
            if (this.charsetEncoder != null) {
                CharBuffer cbuf = CharBuffer.allocate(1);
                ByteBuffer bbuf = ByteBuffer.allocate(1);
                cbuf.put(c);
                cbuf.position(0);
                this.charsetEncoder.encode(cbuf, bbuf, true);
                if (bbuf.get(0) == '\\') {
                    buf.append('\\');
                }
            }
            // fall through

        default:
            buf.append(c);
    }
}
posted @   范世强  阅读(412)  评论(0编辑  收藏  举报
编辑推荐:
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
阅读排行:
· 阿里最新开源QwQ-32B,效果媲美deepseek-r1满血版,部署成本又又又降低了!
· 单线程的Redis速度为什么快?
· SQL Server 2025 AI相关能力初探
· AI编程工具终极对决:字节Trae VS Cursor,谁才是开发者新宠?
· 展开说说关于C#中ORM框架的用法!
点击右上角即可分享
微信分享提示