造成SQL注入攻击的根本原因在于攻击者可以改变SQL查询的上下文,使程序员原本要作为数据解析的数值,被篡改为命令了。防止SQL注入的方法如下:
正确使用参数化API进行SQL查询。
如果构造SQL指令时需要动态加入约束条件,可以通过创建一份合法字符串列表,使其对应于可能要加入到SQL指令中的不同元素,来避免SQL注入攻击。
public void doPrivilegedAction(HttpServletRequest request, char[] password) throws SQLException {String username = request.getParameter("name");EntityManagerFactory emf = Persistence.createEntityManagerFactory("myJPA");EntityManager em = emf.createEntityManager();String pwd = hashPassword(password);String sqlString = "SELECT * FROM db_user WHERE username=:username AND password=:password";Query createQuery = em.createQuery(sqlString);createQuery.setParameter("username", username);createQuery.setParameter("password", pwd);//...Object singleResult = createQuery.getSingleResult();if(object == null){//...}//...}
若有收获,就点个赞吧
0 人点赞
