讨论:网站防sql注入,是否有必要过滤关键字? 公司网站是老古董了,jsp+tomcat,字符串组装sql语句,存在注入漏洞。最近增加了一个函数处理页面提交的参数,除了对 + - ' () <> 等特殊符号进行转全角外,是否有必要再过滤 select 、delete 、drop 等关键字? 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 安全起见,还是过滤吧~~~用正则表达式根据标准SQL语句来过滤咯。 不要直接拼装sql然后用statement执行,用prepareStatement,这样之后基本没问题了 好像 过滤没人用了 一般用2楼的方法 PreparedStatement pstmt = con.prepareStatement("UPDATE EMPLOYEES SET SALARY = ? WHERE ID = ?"); pstmt.setBigDecimal(1, 153833.00) pstmt.setInt(2, 110592)jdk api 上的 还是过滤一下的好!不过既然修改了,就直接使用PreparedStatement得了 安全,相当重要,如果都用存储过程的话select 、delete 、drop 还有insert 等,统统过滤掉 jsp或者servlet,怎么判断返回给clinet的response是成功的 JAVA的一个问题 类扩展问题 求JAVA序列化 显示Exception in thread "main" java.lang.NullP的错误,在线等 关于用JAVA做图形控件 继续散分!心情好差!散完为止 如何控制Thread生命周期 交友兼散分!!! 一个很菜的问题,还请大家相告! Java sdk 下两个bin目录的关系 问个关于JLabel的小问题,懂的进
一般用2楼的方法
PreparedStatement pstmt = con.prepareStatement("UPDATE EMPLOYEES
SET SALARY = ? WHERE ID = ?");
pstmt.setBigDecimal(1, 153833.00)
pstmt.setInt(2, 110592)jdk api 上的
select 、delete 、drop 还有insert 等,统统过滤掉