java web,sql过滤问题,哪位帮个忙

写了一个替换,不知道里面“”该怎么处理?谢谢帮忙

     public static String SqlReplaceStr(String str) {
        str = str.replace("'", """);
        str = str.replace("%", "?"); //这里该怎么写才能保留%号的原意,而不是sql注入
        str = str.replace("[]","");    //这里该怎么写才能保留[]号的原意,而不是sql注入
        str = str.replace("^", "");   //这里该怎么写才能保留^号的原意,而不是sql注入
        str = str.replace("_", "");   //这里该怎么写才能保留_号的原意,而不是sql注入
        return str;
    }

3个回答

 你标注的这些都不算注入字符,需要注意的是单引号的转义,将单引号替换为实体'或者2个'',sql单引号转义就是个''

数字型的正则判断下是否数字,或者直接转换为数字,字符型单引号替换为''或者直接实体'就行了,最好的防注入就是用存储过程来添加或者sql语句参数化

不过执行上面的替换基本是没有什么大问题了。不行服务器端安装个web服务器的安全狗,会自动帮你拦截sql注入

showbo
支付宝加好友偷能量挖,胡杨等着我的招呼 回复wuruize888: 你组合sql替换掉'应该就没事了,不过有些数据库字符串也支持双引号,你得连双引号一起替换掉。你列的那些字符串不用替换,不会注入。如果你提高安全性,<>这种替换为实体&lt;&gt;可以防止xss攻击。如果是富文本编辑器需要保留html代码的,用正则替换掉script标签和相关的js事件,可以参考这个:http://www.w3dev.cn/article/20090620/131.aspx
3 年多之前 回复
u014353911
wuruize888 就是笨在语法不懂上我
3 年多之前 回复

sql注入有很多方法可以解决,最简单的可以用prepareStation来解决啊

prepareStatement

Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问
相关内容推荐