如何阻止我的网站在其中进行SQL注入
我正在使用Struts 2,DB MY sql。
答案 0 :(得分:0)
我认为最好的方法是不重新发明轮子并使用现有的工具。对于一个小项目,我建议在查询数据库时简单地使用预准备语句。
http://docs.oracle.com/javase/7/docs/api/java/sql/PreparedStatement.html
您还可以考虑使用像Hybernate这样的ORM。但请务必按预期使用它。即使是HQL也容易注射。请参阅:how much safe from SQL-Injection if using hibernate
重要的是不要通过将查询字符串与来自不受信任来源的值连接来编写自己的本机查询。