防止SQL注入

防止SQL注入 如何防止SQL注入 网站怎么防止这样的事发生，越详细越好，谢谢各问的参与，还有就是如果代码都是能sql 加参数的形式，还存在这样的问题吗, ------解决-------------------------------------------------------- 过滤URL中的一些特殊字符，动态SQL语句使用PrepareStatement.. ------解决方案-------------------------------------------------------- 注入的方式就是在查询条件里加入SQL字符串. 可以检查一下提交的查询参数里是否包含 SQL,但通常这样无益. 最好的办法是不要用拼接SQL字符串,可以用prepareStatement,参数用set方法进行填装 ------解决方案-------------------------------------------------------- sql注入形式:...where name= +name+ ,这样的sql语句很容易sql注入，可以这样: jdbcTemplate.update( delete from userinfo where id=? and userId=? , new Object[]{userInfo.getId(),userInfo.getUserId()}); 我的一些代码，望有用～ ------解决方案-------------------------------------------------------- Sql注入漏洞攻击:如1'or'1'='1 使用参数化查询避免 cmd.CommandText= select count(*) from 表名 where username=@a and password=@b ; cmd.parameters.Add(new SqlParameter( a , .. )); cmd.parameters.Add(new SqlParameter( b , .. )); ------解决方案-------------------------------------------------------- 恩，用框架，用jpa的pojo。。就没这种事情了