java使用正则表达式过滤sql注入
现有项目有大量的后台查询没有使用预处理,所以前台必须使用过滤器对参数做过滤以防止sql注入。
最后要注意的是对参数做匹配之前,先要做下decode处理:String qurystr = req.getQueryString()==null?"": req.getQueryString();if (!qurystr.equals("")) { try {qurystr = java.net.URLDecoder.decode(qurystr); } catch (Exception e1) {qurystr = httpReq.getRequestURI(); }}
