Java中如何去掉字符串中的非法字符（预防SQL注入）

 1 /**

 2      * 防止SQL注入，校验字符串参数是否合法

 3      * @param s

 4      * @return

 5      */

 6     public static boolean isValid(String s)

 7     {

 8         if (s.isEmpty()|| s.length() > 10000)

 9         {

10             return false;

11         }

12         s = s.toLowerCase();

13         String cs = "'|and|\"|exec|insert|select|delete|update|count|*|%|=|chr|mid|master|truncate|char|declare|; |or|-|+|,";

14         String[] csArray =     cs.split("\\|");

15         //循环校验是否含有非法字符串

16         for(int i=0;i<csArray.length;i++){

17             if(s.indexOf(csArray[i])!=-1){

18                 return false;

19             }

20         }

21         return true;

22     }

这里面有一个问题需要注意一下：

String[] csArray =     cs.split("\\|");为什么这里需要使用\\,原因是split()中的参数是正则表达式，因为\和|都是正则的元字符需要进行转义，\\代表\,所以\|需要改写为\\|