jspÖзÀÖ¹sql×¢ÈëµÄһЩ»ù±¾Ô¤·À´ëÊ©

 Ò»¡¢É¶ÊÇsql×¢Èë
     Ëùνsql×¢Èë¼òµ¥Ëµ¾ÍÊDZ»ÈË×êÁËSQLµÄ¿Õ×ÓÏÂÃæ¾Ù¸ö×î¼òµ¥µÄÀý×Ó¡£
     sql Ϊ£º"select * from users where username='"+userName+"' and password='"+password+"' "
     1¡¢¹¥»÷ÕßÖ»ÒªÔÚ´«ÈëµÄuserName¼ÓÉÏ'--ÉÏÃæµÄsql±ã½«username='"+userName+"' ºóÃæµÄÌõ¼þÈ«²¿×¢Ê͵ô¡£Ö±½ÓÑé֤ͨ¹ý¡£
     2¡¢ÉõÖÁ¹¥»÷ÕßÖ»Òª´«Èë ' or 1=1 --  µÀÀíÒ²ÊÇÒ»ÑùµÄ¡£
     3¡¢sql×¢ÈëÔ­ÀíÍƼö¸öÎÄÕ£¬ÀïÃæÓнéÉÜ¡£http://www.nosec.org/2009/0918/59.html
¶þ¡¢½â¾ö·½·¨£º ¹ýÂ˵ôÓû§ÊäÈëÖеÄΣÏÕ×Ö·û
    1¡¢µÚÒ»ÖÖ²ÉÓÃÔ¤±àÒëÓï¾ä¼¯£¬ËüÄÚÖÃÁË´¦ÀíSQL×¢ÈëµÄÄÜÁ¦£¬Ö»ÒªÊ¹ÓÃËüµÄsetString·½·¨´«Öµ¼´¿É£º
    String sql= "select * from users where username=? and password=?;
    PreparedStatement preState = conn.prepareStatement(sql);
    preState.setString(1, userName);
    preState.setString(2, password);
    ResultSet rs = preState.executeQuery();    
   2¡¢½«´«ÈëµÄ×Ö·û´®×ö¹ýÂË.replaceAll(".*([';]+|(--)+).*", " ");
   3¡¢jsÑéÖ¤£ºÍ¨¹ýjs¹ýÂ˵ô¿Í»§¶ËÌá½»ÉÏÀ´µÄ×Ö·û£¨ÏÖÔÚÈƹýjsÑéÖ¤µÄ·½·¨Ì«¶à²»½¨Òé²ÉÓã©
  function IsValid( oField ){ 
    re= /select|update|delete|exec|count|'|"|=|;|>|<|%/i; 
    $sMsg = "ÇëÄú²»ÒªÔÚ²ÎÊýÖÐÊäÈëÌØÊâ×Ö·ûºÍSQL¹Ø¼ü×Ö£¡" 
    if ( re.test(oField.value) ) 
    { 
    alert( $sMsg ); 
    oField.value = '';
    oField.focus(); 
    return false; 
  } 
˵Ã÷:ÒÔÉÏÎÄÕ´󲿷ÖÀ´²Î¿¼ÍøÂç×ÊÁÏ¡£ÕûÀíºó·½±ã×Ô¼ºµÄ²éÔĺÍѧϰ¡£