wuruize888 2017-05-28 01:59 采纳率: 66.7%
浏览 954
已采纳

java web,sql过滤问题,哪位帮个忙

写了一个替换,不知道里面“”该怎么处理?谢谢帮忙

     public static String SqlReplaceStr(String str) {
        str = str.replace("'", """);
        str = str.replace("%", "?"); //这里该怎么写才能保留%号的原意,而不是sql注入
        str = str.replace("[]","");    //这里该怎么写才能保留[]号的原意,而不是sql注入
        str = str.replace("^", "");   //这里该怎么写才能保留^号的原意,而不是sql注入
        str = str.replace("_", "");   //这里该怎么写才能保留_号的原意,而不是sql注入
        return str;
    }
  • 写回答

3条回答

  • Go 旅城通票 2017-05-28 06:39
    关注
     你标注的这些都不算注入字符,需要注意的是单引号的转义,将单引号替换为实体'或者2个'',sql单引号转义就是个''

数字型的正则判断下是否数字,或者直接转换为数字,字符型单引号替换为''或者直接实体'就行了,最好的防注入就是用存储过程来添加或者sql语句参数化

不过执行上面的替换基本是没有什么大问题了。不行服务器端安装个web服务器的安全狗,会自动帮你拦截sql注入
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(2条)

报告相同问题?

悬赏问题

  • ¥15 #MATLAB仿真#车辆换道路径规划
  • ¥15 java 操作 elasticsearch 8.1 实现 索引的重建
  • ¥15 数据可视化Python
  • ¥15 要给毕业设计添加扫码登录的功能!!有偿
  • ¥15 kafka 分区副本增加会导致消息丢失或者不可用吗?
  • ¥15 微信公众号自制会员卡没有收款渠道啊
  • ¥100 Jenkins自动化部署—悬赏100元
  • ¥15 关于#python#的问题:求帮写python代码
  • ¥20 MATLAB画图图形出现上下震荡的线条
  • ¥15 关于#windows#的问题:怎么用WIN 11系统的电脑 克隆WIN NT3.51-4.0系统的硬盘