peniy 2008-08-29 10:27
浏览 721
已采纳

问个 LIKE 语句sql注入的处理

场景是做个对数据库A表字段CONTENT的模糊查询。
语句类似:
PreparedStatement stmt = conn.prepareStatement("select * from A where CONTENT like ? ");
String searchString = "aa";//匹配内容
stmt.setString(1,"%" + searchString + "%");

这个语句匹配包含searchString 为"aa"内容的数据,但如果传入的不是 "aa",而含特殊的符号如 "%",
就可查询出来所有的数据。

一个解决的办法是将语句改为:"select * from A where CONTENT like ? ESCAPE '\'"
然后再对searchString进行一下预处理(在"%:","_","\" 字符前附加"\").

感觉这个方法还是比较拖沓,而且本质上还是需要程序去转义sql,而不是依赖数据库本身来处理.

不知各位有什么比较好的处理方法?

  • 写回答

2条回答 默认 最新

  • lijie250 2008-08-29 13:26
    关注

    数据库一般不提供转义功能,只有在由开发语言处理!GOOGLE搜索都把那些特殊字符过滤了!

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

悬赏问题

  • ¥15 深度学习根据CNN网络模型,搭建BP模型并训练MNIST数据集
  • ¥15 lammps拉伸应力应变曲线分析
  • ¥15 C++ 头文件/宏冲突问题解决
  • ¥15 用comsol模拟大气湍流通过底部加热(温度不同)的腔体
  • ¥50 安卓adb backup备份子用户应用数据失败
  • ¥20 有人能用聚类分析帮我分析一下文本内容嘛
  • ¥15 请问Lammps做复合材料拉伸模拟,应力应变曲线问题
  • ¥30 python代码,帮调试,帮帮忙吧
  • ¥15 #MATLAB仿真#车辆换道路径规划
  • ¥15 java 操作 elasticsearch 8.1 实现 索引的重建