sql注入问题

应用程序登陆验证是如下写法的都有问题:

 

String sql= "UserPower as u where u.username = '" + user + "' and u.password ='" + psw + "'";

 

String sql= "delete ...... where u.id='" + id+ "'";

 

 

登录用户只需要在密码框输入 1' or 1 = '1 就可实现轻松登陆。

如果在客户端加密密码的也可以在地址栏输入?password=1'%20or%201='1&userid=admin

 

删除的链接一般都是写成 del?id=1 如果写成  1' or 1 = '1 就全删了。

解决登录注入方法可以先取出密码,再做对比。过滤' 符号。

另外也可以用？

String sql= "UserPower as u where u.username = ? and u.password =?";

 

String sql= "delete ...... where u.id=?";