解决sql注入攻击问题的方法 如何保护隐蔽域信息？

SQL注入攻击的危害性很大。在讲解其防止办法之前，数据库管理员有必要先了解一下其攻击的原理。这有利于管理员采取有针对性的防治措施。

解决方案：

过滤URL中的一些特殊字符，动态SQL语句使用PrepareStatement..

注入的方式就是在查询条件里加入SQL字符串. 可以检查一下提交的查询参数里是否包含SQL,但通常这样无益.

最好的办法是不要用拼接SQL字符串,可以用prepareStatement,参数用set方法进行填装

sql注入形式：...where name="+name+",这样的sql语句很容易sql注入，可以这样：

jdbcTemplate.update("delete from userinfo where id=? and userId=?", new Object[]{userInfo.getId(),userInfo.getUserId()});

我的一些代码，望有用！

Sql注入漏洞攻击：如1'or'1'='1

使用参数化查询避免

cmd.CommandText="select count(*) from 表名 where username=@a and password=@b";

cmd.parameters.Add(new SqlParameter("a",".."));

cmd.parameters.Add(new SqlParameter("b",".."));

恩，用框架，用jpa的pojo。。就没这种事情了

SSH2架构中 怎么防止SQL注入呢？还有其他相关安全问题怎么设计呢？

目前的安全，只是对用户密码加密，前台jquery验证。

如何实现防止注入攻击还有我的页面有些隐藏域保存这当前登录用户的信息等信息。

用户查看页面源代码就可以查看到了。

有没好的解决方案呢？还有其他哪些要注意的地方呢？

Struts2 hibernate3 spring 3.0

sql server 2000 sp4

1：向 CA 购买证书，使用 HTTPS 进行通信，以保证在网络传输过程中是安全的

2：避免 XSS 注入（页面回显的 input text, input hidden 均过滤 <、>、"、' 等字符等）

3：使用随机键盘或者安全控件防止键盘木马记录用户的输入

4：若要在 Cookie 中写入数据，尽量使用 Cookie 的 HttpOnly 属性

5：响应中设置一些诸如 X-Frame-Options、X-XSS-Protection 等高版本浏览器支持的 HTTP 头

6: 不管客户端是否做过数据校验，在服务端必须要有数据校验（长度、格式、是否必填等等）

7: SQL 语句采用 PreparedStatement 的填充参数方式，严禁使用字符串拼接 SQL 或者 HQL 语句