如何防止SQL注入?

时间:2015-02-12 09:46:51

标签: sql sql-injection

在以下代码中阻止SQL注入的最佳方法是什么:

Class.forName(driver).newInstance();
conn = DriverManager.getConnection(ConnectionUrl+DBName,Username,Password);
query = "SELECT * FROM DealerUser du where " +
            "du.Username = '"+ userName +"' and du.Password = '"+password+"'and " +
            "du.DealerId in (Select d.ID from Dealer d where d.IsSystemDealer = true);";
Statement statement = conn.createStatement();
ResultSet dealer = statement.executeQuery(query);

我试过阅读一些博客,但没有得到这些变种。只需要一些方向。

1 个答案:

答案 0 :(得分:-1)

使用UserNamePassword的参数?

(正如评论者刚刚补充的那样,准备好的陈述。)

相关问题
最新问题