j2ee怎么防止sql注入

张艺辰 发布于 2013/03/04 21:08
阅读 1K+
收藏 1

j2ee这方向写web程序怎么防止sql注入

是注意sql语句还是有什么框架还是什么其他企业中用的较多的方法

求点资料...望赐教!

加载中
0
huan
huan

使用 PreparedStatement 


huan
huan
如果用ORM框架就基本不用考虑这个了,框架自己会处理sql注入的问题。
张艺辰
张艺辰
这个就用setString setInt这样嘛? 用到框架之类的比如hibernate myBatis的话怎么办?
0
用户已屏蔽
szf
szf
回复 @张艺辰 : SQL中用占位符作参数,当然不能注入了 -- 除非你自己实现的占位符参数替换是使用拼字串,而不是PreparedStatement. -- 用ORM不用考虑这些啊
张艺辰
张艺辰
实体类这个可以防止sql注入啊? hibernate中这样的from User t where t.username=? and t.password=? 这个不会存在注入 ?User是实体类
你来打我呀
你来打我呀
回复 @szf : +1,直接操作SQL,难免会出现注入口
szf
szf
回复 @yangzhiyong : 既然提到j2ee(javaee),怎么少得了实体类?既然用了实体类,再自己写sql那不是扯蛋嘛,真想写的话,用mybitas这个ORM框架就可以了,按最普通的方法写都绝对不会有注入问题。 另外,不用实体类的java开发方法,就不要叫javaee了~~
dreamers
dreamers
哈哈,看来这位仁兄对ORM情有独钟呀。。。
下一页
0
steel
steel
使用预编译
张艺辰
张艺辰
这位大哥有没有这方面的资料?
0
南湖船老大
南湖船老大
预编译足矣
张艺辰
张艺辰
有没有这方面的资料? 求赐教!
0
designer
designer
一楼正解~
0
loyal
loyal
PreparedStatement 就行了,不要自己去拼sql就行了,其实java是天生就支持防注入的...只是有人偷懒写程序.
张艺辰
张艺辰
@loyal 比如说?hibernate可以不 ?
loyal
loyal
回复 @张艺辰 : 有些框架支持注入报警.
张艺辰
张艺辰
如果是用到框架之类的呢?
0
相见欢
相见欢

引用来自“loyal”的答案

PreparedStatement 就行了,不要自己去拼sql就行了,其实java是天生就支持防注入的...只是有人偷懒写程序.
我怎么觉得拼接sql语句可不是偷懒,是累人的活啊
0
南湖船老大
南湖船老大

引用来自“相见欢”的答案

引用来自“loyal”的答案

PreparedStatement 就行了,不要自己去拼sql就行了,其实java是天生就支持防注入的...只是有人偷懒写程序.
我怎么觉得拼接sql语句可不是偷懒,是累人的活啊
拼接SQL一般偷的是逻辑能力的懒,不想多写几个方法,也不想或没能力封装一个好的DAO操作类库
0
爪哇扫地僧
爪哇扫地僧

1.通过拦截器或javascript,对请求的参数进行过滤;

2.用preparestatement。

0
海空
海空
用fastjson
张艺辰
张艺辰
这个怎么去防止sql注入?
返回顶部
顶部