Java防止SQL注入

1. 定义：
所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

2. 防止SQL注入的方法：
A：使用PreparedStatement代替Statement
1）使用PreparedStatement 比Statement的代码的可读性和可维护性更好.
2）PreparedStatement尽最大可能提高性能.
3）最重要的一点是PreparedStatement极大地提高系统的安全性
PreparedStatement和Statement对比实例：

1.stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");   
2.  
3.perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");   
4.perstmt.setString(1,var1);   
5.perstmt.setString(2,var2);   
6.perstmt.setString(3,var3);   
7.perstmt.setString(4,var4);   
8.perstmt.executeUpdate();

sql="select * from admin where username=? and password=?";
 PreparedStatement psmt= con.prepareStatement(sql);
 psmt.setString(1,username);
 psmt.setString(2,password);
 ResultSet rs = psmt.executeQuery();
 if(rs.next){
 rs.close();
 con.close();
 return false;
 }
 else{
 rs.close();
 con.close();
 return true;
 }

B: 使用字符串过滤

public static String filterContent(String content){
   String flt ="'|and|exec|insert|select|delete|update|count|*|%                   

|chr|mid|master|truncate|char|declare|;|or|-|+|,";
   Stringfilter[] = flt.split("|");
 for(int i=0;i<filter.length ; i++)
    {
      content.replace(filter[i], "");
    }
     return content;
  }

或者使用Filter来过滤全局的表单参数。