JSP网页防止sql注入攻击

  SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。

  prepareStatement方法是防止sql注入的简单有效手段

  preparedStatement和statement的区别

  1、preparedStatement是statement的子方法

  2、preparedStatement可以防止sql注入的问题

  3、preparedStatement它可以对它所代表的sql语句进行预编译,以减轻服务器压力

  实例如下 www.yzyedu.com

  public User find(String username, String password) {

  Connection conn = null;

  PreparedStatement st = null;

  ResultSet rs = null;

  try{

  conn = JdbcUtils.getConnection();

  String sql = "select * from users where username=? and password=?";

  st = conn.prepareStatement(sql);

  st.setString(1, username);

  st.setString(2, password);

  rs = st.executeQuery(); //

  if(rs.next()){

  User user = new User();

  user.setId(rs.getString("id"));

  user.setUsername(rs.getString("username"));

  user.setPassword(rs.getString("password"));

  user.setEmail(rs.getString("email"));

  user.setBirthday(rs.getDate("birthday"));

  return user;

  }

  return null;

  }catch (Exception e) {

  throw new DaoException(e);

  }finally{

  JdbcUtils.release(conn, st, rs);

  } www.jx-jf.com

  }

 

posted on 2014-03-30 10:40  程序点滴  阅读(448)  评论(0编辑  收藏  举报

全讯网   全讯网