我应该如何清理Java中的数据库输入？ [英] How should I sanitize database input in Java?

问题描述

有人可以指点我一个关于安全运行部分来自用户输入的SQL查询的初学者指南吗？我正在使用Java，但语言中立的指南也很好。

Could someone please point me to a good beginner guide on safely running SQL queries formed partly from user input? I'm using Java, but a language neutral guide is fine too.

理想的行为是，如果有人在GUI中键入类似

The desired behaviour is that if someone types into the GUI something like

的内容很好;）DROP TABLE FOO;

数据库应将其视为文字字符串并安全存储而不丢弃任何表。

The database should treat it as a literal string and store it safely without dropping any tables.

推荐答案

你肯定想用 PreparedStatement 。他们很方便。这是一个示例。

You definitely want to use PreparedStatements. They are convenient. Here is an example.

这篇关于我应该如何清理Java中的数据库输入？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！