写了一个替换,不知道里面“”该怎么处理?谢谢帮忙
public static String SqlReplaceStr(String str) {
str = str.replace("'", """);
str = str.replace("%", "?"); //这里该怎么写才能保留%号的原意,而不是sql注入
str = str.replace("[]",""); //这里该怎么写才能保留[]号的原意,而不是sql注入
str = str.replace("^", ""); //这里该怎么写才能保留^号的原意,而不是sql注入
str = str.replace("_", ""); //这里该怎么写才能保留_号的原意,而不是sql注入
return str;
}
你标注的这些都不算注入字符,需要注意的是单引号的转义,将单引号替换为实体'或者2个'',sql单引号转义就是个''
数字型的正则判断下是否数字,或者直接转换为数字,字符型单引号替换为''或者直接实体'就行了,最好的防注入就是用存储过程来添加或者sql语句参数化
不过执行上面的替换基本是没有什么大问题了。不行服务器端安装个web服务器的安全狗,会自动帮你拦截sql注入
sql注入有很多方法可以解决,最简单的可以用prepareStation来解决啊
prepareStatement