码迷,mamicode.com
首页 > 数据库 > 详细

sql注入

时间:2014-08-10 01:44:49      阅读:380      评论:0      收藏:0      [点我收藏+]

标签:style   blog   http   color   java   使用   数据   ar   

1. 参数化预编译之所以能防御住SQL注入,只要是基于以下2点:
    1) setString(): WEB程序接收字符串的场景
    将用户输入的参数全部强制转换为字符串,并进行适当的转义,防止了闭合的产生
    2) setInt(): WEB程序接收整型的场景
    将用户输入的非整型参数强制转换为整型,并去除潜在的"非整型注入字符",类似与PHP中的intVal()防御思路
2. 并不是说使用了参数化预编译方法执行SQL,就不会有注入的发生了,当WEB系统和DataBase系统的字符集配置不当,可能会导致宽字节注入的发生


Java JDBC现在主流的做法是"本地协议驱动",为此,Java需要借助不同厂商提供的数据库驱动(本质上是一个JAR包)来和数据库进行连接



http://www.cnblogs.com/LittleHann/p/3695332.html

sql注入,布布扣,bubuko.com

sql注入

标签:style   blog   http   color   java   使用   数据   ar   

原文地址:http://www.cnblogs.com/softidea/p/3902278.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!