Java中如何去掉字符串中的非法字符(预防SQL注入) 

 1 /**
 2      * 防止SQL注入,校验字符串参数是否合法
 3      * @param s
 4      * @return
 5      */
 6     public static boolean isValid(String s)
 7     {
 8         if (s.isEmpty()|| s.length() > 10000)
 9         {
10             return false;
11         }
12         s = s.toLowerCase();
13         String cs = "'|and|\"|exec|insert|select|delete|update|count|*|%|=|chr|mid|master|truncate|char|declare|; |or|-|+|,";
14         String[] csArray =     cs.split("\\|");
15         //循环校验是否含有非法字符串
16         for(int i=0;i<csArray.length;i++){
17             if(s.indexOf(csArray[i])!=-1){
18                 return false;
19             }
20         }
21         return true;
22     }

这里面有一个问题需要注意一下:

String[] csArray =     cs.split("\\|");为什么这里需要使用\\,原因是split()中的参数是正则表达式,因为\和|都是正则的元字符需要进行转义,\\代表\,所以\|需要改写为\\|
posted @ 2012-05-09 11:52  姜枫  阅读(2270)  评论(0编辑  收藏  举报