سلام ، چطوری داده هایی ک از کاربر میگیرم رو encode کنم در واقع برا مقابله با Sql injection میخوام اینکارو کنم مثلا username رو از کاربر گرفتم چجوری باید مطمئن بشم ک یک دستور Sql نیست ؟

من نمی دونم تحت وب هست برنامتون یا نه
ولی مثلا برای تحت وب من خودم با php می نویسم وقتی هر فیلدی رو از کاربر میگیرم اول بررسی می کنم درش special characters وجود داره یا نه؟
این خودش تا حدی جلوی sql enjection رو میگیره

داده هایی که کاربر وارد فیلد می کنه باید محدود شه مثلا کاراکتر مساوی وارد نکنه.باید از regular expression استفاده کنی.

خب دستورای sql زیاد هستن یعنی باید برای همشون چک کنم اون داده ورودی رو ؟
میشه بیشتر توضیح بدین ، regular expression چیه؟

کسی نیس جوابه مارو بده؟

قرار نیست دستورات sql چک کنی.شما باید اول بدونی sql injection چه کار می کنه .باید نزاری کاربر هر داده ای رو وارد کنه.مثلا 1=1 که true برگردونه.

می تونی از hibernate framwork استفاده کنی

"این پست برای کسایی هست ک ممکنه این سوال براشون پیش بیاد" :
اونطوری ک من از جست و جو ها فهمیدم ی کلاس هست به اسم Prepared Statement ک طبق گفته های این (http://stackoverflow.com/questions/6272861/how-to-prevent-sql-injection-in-jsp) لینک میتونه از این حملات جلوگیری کنه بصورت زیر:

String query = "SELECT * FROM users Where firstname=?";
reparedStatement = connection.prepareStatement(query);
preparedStatement.setString(1, firstname);
preparedStatement.executeQuery();
اگر مقدار firstname مثلا Mohsen باشه ، این کلاس عبارت 'Mohsen' رو داخل query قرار میده ، پس کاربر هر مقداری وارد کنه فرقی نداره!
اگه بازم جایی رو اشتباه فهمیدم یا دارم اشتبا میگم استادا راهنمایی کنن ، اگه هم نه ک هیچی!