Java 中的PreparedStatements 如何防止 SQL 注入？

防止 SQL 注入：在 Java 中转义字符串

防止 SQL 注入的任务需要仔细处理输入字符串。一种方法是修改现有字符串以防止特殊字符被利用。具体来说，将现有反斜杠 () 转换为 、引号 (") 转换为 "、撇号 (') 转换为 ' 以及换行符 (n) 转换为 n 可确保字符串在 MySQL 数据库查询评估时变得无害。

虽然replaceAll函数可以实现这种转换，但由于大量的反斜杠，它的使用可能会变得复杂。为了解决这个问题，另一种更安全的方法是使用PreparedStatements。

PreparedStatements 通过将用户输入视为查询语句中的参数来消除 SQL 注入的可能性。考虑以下 Java 代码示例：

public insertUser(String name, String email) {
   Connection conn = null;
   PreparedStatement stmt = null;
   try {
      conn = setupTheDatabaseConnectionSomehow();
      stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
      stmt.setString(1, name);
      stmt.setString(2, email);
      stmt.executeUpdate();
   }
   finally {
      try {
         if (stmt != null) { stmt.close(); }
      }
      catch (Exception e) {
         // log this error
      }
      try {
         if (conn != null) { conn.close(); }
      }
      catch (Exception e) {
         // log this error
      }
   }
}

无论姓名和电子邮件中包含什么字符，它们都会安全地插入数据库，而不会对 INSERT 语句的完整性构成任何威胁。

PreparedStatement 类提供了针对特定数据类型定制的各种 set 方法，确保与数据库字段定义的兼容性。例如，要设置 INTEGER 列，可以使用 setInt 方法。请参阅PreparedStatement 文档以获取可用方法的完整列表。

以上是Java 中的PreparedStatements 如何防止 SQL 注入？的详细内容。更多信息请关注PHP中文网其他相关文章！