1.sql注入是什么
我的理解:前端传进来的参数A,截取A+sql语句去set值,改写的值可以set进入你写的sql语句里面,这就是sql注入
2.解决:
3.代码:
获取的前端参数A
更改参数:sql注入---》 A = A select * from table
修复:sqlinj(A)---将A还原--我们就解决了sql注入问题
public static String sqlInj(String b){
String reg = "(?:')|(?:--)|(/\*(?:.|[\n\r])*?\*/)|(\b(select|if|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\b)";
return str.replaceAll(reg, " "); //干掉sql关键字并返回参数
}