谁有用jsp写的防注入的代码？我从网上找的为什么不行？

package sql_inj;import java.net.*;
import java.io.*;
import java.sql.*;
import java.text.*;
import java.lang.String;public class sql_inj
{
   public static boolean sql_inj(String str)
   {
      String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|+|,";
      String[] inj_stra = inj_str.split("\\|");
      for (int i=0 ; i < inj_stra.length ; i++ )
      {
          if (str.indexOf(inj_stra[i])>=0)
          {
              return true;
          }
      }
      return false;
   }
}
====================================================================JSP页面判断代码：
====================================================================
<jsp:useBean id="sql_inj" class="sql_inj.sql_inj" scope="page"/>
<%
String   currenturl   =   request.getRequestURI()+(request.getQueryString()==null?"":("?"+request.getQueryString()));
if (sql_inj.sql_inj(currenturl)){ //判断url及参数中是否包含注入代码，是的话就跳转到某页。
response.sendRedirect("/");
return;
}
//out.println(currenturl);
%>

解决方案 »

免费领取超大流量手机卡，每月29元包185G流量+100分钟通话, 中国电信官方发货

非常感谢，终于有人说话了。是这样的我用了上面的方法页面就直接跳到错误页面了。我是想防止sql注入的问题，但现在连页面也无法打开了。你考虑会是什么问题呢？我的URl中没有包含上面限制的字符呀。
JSP页面判断代码我写在一个文件里，其它文件都include这个文件。
防注入的最有效，最简单的方法是
使用预编译的PreparedStatement
而不是使用拼凑SQL的 StatementOVER
请参考
jsp防注入的代码,如何防止SQL注入的方法和预编译的PreparedStatement的代码例子