----解决方案--------------------------------------------------------
过滤URL中的一些特殊字符，动态SQL语句使用PrepareStatement..
------解决方案--------------------------------------------------------
注入的方式就是在查询条件里加入SQL字符串. 可以检查一下提交的查询参数里是否包含SQL,但通常这样无益.

更好的办法是不要用拼接SQL字符串,可以用prepareStatement,参数用set *** 进行填装
------解决方案--------------------------------------------------------
sql注入形式：...where name=+name+,这样的sql语句很容易sql注入，可以这样：
jdbcTemplate.update(delete from userinfo where id=? and userId=?, new Object[]{userInfo.getId(),userInfo.getUserId()});
我的一些代码，望有用！
------解决方案--------------------------------------------------------
Sql注入漏洞攻击：如1'or'1'='1
使用参数化查询避免
cmd.CommandText=select count(*) from 表名 whereusername=@aandpassword=@b;
cmd.parameters.Add(new SqlParameter(a,..));
cmd.parameters.Add(new SqlParameter(b,..));
------解决方案--------------------------------------------------------
恩，用框架，用jpa的pojo。。就没这种事情了

SSH2架构中 怎么防止SQL注入呢？还有其他相关安全问题怎么设计呢？
目前的安全，只是对用户密码加密，前台jquery验证。
如何实现防止注入攻击还有我的页面有些隐藏域保存这当前登录用户的信息等信息。
用户查看页面源代码就可以查看到了。
有没好的解决方案呢？还有其他哪些要注意的地方呢？
Struts2 hibernate3 spring 3.0
sql server 2000 sp4

------解决方案--------------------------------------------------------
1：向 CA 购买证书，使用 HTTPS 进行通信，以保证在 *** 传输过程中是安全的
2：避免 XSS 注入（页面回显的 input text, input hidden 均过滤 <、>、、' 等字符等）
3：使用随机键盘或者安全控件防止键盘木马记录用户的输入
4：若要在 Cookie 中写入数据，尽量使用 Cookie 的 HttpOnly 属性
5：响应中设置一些诸如 X-Frame-Options、X-XSS-Protection 等高版本浏览器支持的 HTTP 头
6: 不管客户端是否做过数据校验，在服务端必须要有数据校验（长度、格式、是否必填等等）
7: SQL 语句采用 PreparedStatement 的填充参数方式，严禁使用字符串拼接 SQL 或者 HQL 语句

六个建议防止SQL注入式攻击
2009-04-01 14:38
SQL注入攻击的危害性很大。在讲解其防止办法之前，数据库管理员有必要先了解一下其攻击的原理。这有利于管理员采取有针对性的防治措施。
　　一、 SQL注入攻击的简单示例。
　　statement := SELECT * FROM Users WHERE Value= + a_variable +
　　上面这条语句是很普通的一条SQL语句，他主要实现的功能就是让用户输入一个员工编号然后查询处这个员工的信息。但是若这条语句被不法攻击者改装过后，就可能成为破坏数据的黑手。如攻击者在输入变量的时候，输入以下内容SA001’;drop table c_order--。那么以上这条SQL语句在执行的时候就变为了SELECT * FROM Users WHERE Value= ‘SA001’;drop table c_order--。
　　这条语句是什么意思呢?‘SA001’后面的分号表示一个查询的结束和另一条语句的开始。c_order后面的双连字符 指示当前行余下的部分只是一个注释，应该忽略。如果修改后的代码语法正确，则服务器将执行该代码。系统在处理这条语句时，将首先执行查询语句，查到用户编号为SA001 的用户信息。然后，数据将删除表C_ORDER(如果没有其他主键等相关约束，则删除操作就会成功)。只要注入的SQL代码语法正确，便无法采用编程方式来检测篡改。因此，必须验证所有用户输入，并仔细检查在您所用的服务器中执行构造 SQL命令的代码。
　　二、 SQL注入攻击原理。
　　可见SQL注入攻击的危害性很大。在讲解其防止办法之前，数据库管理员有必要先了解一下其攻击的原理。这有利于管理员采取有针对性的防治措施。
　　SQL注入是目前比较常见的针对数据库的一种攻击方式。在这种攻击方式中，攻击者会将一些恶意代码插入到字符串中。然后会通过各种手段将该字符串传递到SQLServer数据库的实例中进行分析和执行。只要这个恶意代码符合SQL语句的规则，则在代码编译与执行的时候，就不会被系统所发现。
　　SQL注入式攻击的主要形式有两种。一是直接将代码插入到与SQL命令串联在一起并使得其以执行的用户输入变量。上面笔者举的例子就是采用了这种 *** 。由于其直接与SQL语句捆绑，故也被称为直接注入式攻击法。二是一种间接的攻击 *** ，它将恶意代码注入要在表中存储或者作为原书据存储的字符串。在存储的字符串中会连接到一个动态的SQL命令中，以执行一些恶意的SQL代码。