Java中如何去掉字符串中的非法字符(预防SQL注入)
1 /** 2 * 防止SQL注入,校验字符串参数是否合法 3 * @param s 4 * @return 5 */ 6 public static boolean isValid(String s) 7 { 8 if (s.isEmpty()|| s.length() > 10000) 9 { 10 return false; 11 } 12 s = s.toLowerCase(); 13 String cs = "'|and|\"|exec|insert|select|delete|update|count|*|%|=|chr|mid|master|truncate|char|declare|; |or|-|+|,"; 14 String[] csArray = cs.split("\\|"); 15 //循环校验是否含有非法字符串 16 for(int i=0;i<csArray.length;i++){ 17 if(s.indexOf(csArray[i])!=-1){ 18 return false; 19 } 20 } 21 return true; 22 }
这里面有一个问题需要注意一下:
String[] csArray = cs.split("\\|");为什么这里需要使用\\,原因是split()中的参数是正则表达式,因为\和|都是正则的元字符需要进行转义,\\代表\,所以\|需要改写为\\|