Versuch, mit JDBC zu beginnen (mit Jetty + MySQL). Ich bin mir nicht sicher, wie man von Benutzern bereitgestellte Parameter in einer SQL-Anweisung umgehen kann. Beispiel:
%Vor%Wie entgehen wir "username" vor der Verwendung mit einer Aussage?
Verwenden Sie die vorbereitete Anweisung .
zum Beispiel:
%Vor%Es verhindert eine SQL-Injection
Wenn Sie sql string abbrechen wollen, dann suchen Sie nach StringEscapeUtils.escapeSql() . Beachten Sie, dass diese Methode im Commons Lang 3 veraltet war .
Siehe auch
Tags und Links java security jdbc sql-injection