java处理SQL特殊字符转义 防止sql注入

最新推荐文章于 2023-08-09 09:39:02 发布
最新推荐文章于 2023-08-09 09:39:02 发布
阅读量1w 收藏 5
点赞数
分类专栏: sql 文章标签: SQL 转义 注入


SQL特殊字符转义

应 该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安全问题。网络中有大量讲解 SQL 注入的文章,感兴趣的读者可以搜索相关的资料深入研究。

虽然 SQL 注入的后果很严重,但是只要对动态构造的 SQL 语句的变量进行特殊字符转义处理,就可以避免这一问题的发生了。来看一个存在安全漏洞的经典例子:


SELECT COUNT(userId) 
FROM t_user 
WHERE userName='"+userName+"' AND password ='"+password+"';

以上 SQL 语句根据返回的结果数判断用户提供的登录信息是否正确,如果 userName 变量不经过特殊字符转义处理就直接合并到 SQL 语句中,黑客就可以通过将 userName 设置为 “1' or '1'='1”绕过用户名/密码的检查直接进入系统了。

所 以除非必要,一般建议通过 PreparedStatement 参数绑定的方式构造动态 SQL 语句,因为这种方式可以避免 SQL 注入的潜在安全问题。但是往往很难在应用中完全避免通过拼接字符串构造动态 SQL 语句的方式。为了防止他人使用特殊 SQL 字符破坏 SQL 的语句结构或植入恶意操作,必须在变量拼接到 SQL 语句之前对其中的特殊字符进行转义处理。Spring 并没有提供相应的工具类,您可以通过 jakarta commons lang 通用类包中(spring/lib/jakarta-commons/commons-lang.jar)的 StringEscapeUtils 完成这一工作:


package com.baobaotao.escape;
import org.apache.commons.lang.StringEscapeUtils;
public class SqlEscapeExample {
    public static void main(String[] args) {
        String userName = "1' or '1'='1";
        String password = "123456";
        userName = StringEscapeUtils.escapeSql(userName);
        password = StringEscapeUtils.escapeSql(password);
        String sql = "SELECT COUNT(userId) FROM t_user WHERE userName='"
            + userName + "' AND password ='" + password + "'";
        System.out.println(sql);
    }
}

事实上, StringEscapeUtils 不但提供了 SQL 特殊字符转义处理的功能,还提供了 HTML、XML、JavaScript、Java 特殊字符的转义和还原的方法。如果您不介意引入 jakarta commons lang 类包,我们更推荐您使用 StringEscapeUtils 工具类完成特殊字符转义处理的工作。

Ping0817
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java特殊字符转义处理:特殊字符转义及解决方法
yanzirou的博客
02-22 1393
需要注意的是,在实际应用程序开发中,我们需要根据具体的需求进行 URL 转义,特别是在进行网络请求时,我们需要将请求参数进行转义,以避免出现解析错误或安全问题。同时,我们还需要注意 URL 编码和 URL 路径编码的区别,前者会对所有的字符进行编码,而后者只会对路径中的字符进行编码。需要注意的是,在实际开发中,我们需要根据具体的需求和场景选择最合适的方法来处理参数中的特殊字符,避免出现解析错误或安全问题。同时,我们还需要了解 URL 编码和转义的规则,以便于进行参数的编码和解码。
java sql 字符串 转义_java拼接SQL语句的特殊字符转义
weixin_36157837的博客
02-13 2670
在实际的项目开发中,往往会根据用户在界面的文本框中输入的信息,去数据库中做模糊查询。如果使用的是原始的JDBC和SQL,往往需要对用户的输入进行转义,避免生成的sql语法错误,或者防止SQL注入。比如对输入的%和_和',就需要进行转义,因为这3个字符是SQL特殊字符,如果不处理会导致sql出错或者是查询数据不正确。假如有这样1个查询请求,模糊查询标题中包含a%b_cc'd的记录,正确的sql应该...
防止xss和sql注入:JS特殊字符过滤正则
12-01
代码如下:function stripscript(s) { var pattern = new RegExp(“[%–`~!@#$^&*()=|{}’:;’,\\[\\].<>/?~!@#¥……&*()——|{}【】‘;:”“’。,、?]”)        //格式 RegExp(“[在中间定义特殊过滤字符]”)var rs = “”; for (var i = 0; i < s.length; i++) {  rs = rs+s.substr(i, 1).replace(pattern, ”); }return rs;}
sql注入Java过滤器
11-10
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
C#实现过滤sql特殊字符的方法集合
12-31
本文实例讲述了C#实现过滤sql特殊字符的方法集合。分享给大家供大家参考,具体如下: 1. /// <summary> /// 过滤不安全的字符串 /// </summary> /// <param name=Str></param> /// <returns></returns> public static string FilteSQLStr(string Str) { Str = Str.Replace(', ); Str = Str.Replace(\, ); Str = Str.Replace(&, &); Str = Str.R
SQL中的转义字符
12-14
之前写了篇文章《Oracle转义字符》,说到了Oracle中单引号“’”的转义字符是单引号“’”,那么其他的特殊字符转义字符又是什么呢,如模糊查询的占位符“%”,“_”等。   经过测试,在Oracle中不能再使用单引号“’”来转义“%”,“_”了,而是用反斜杠“”,不仅如此,还要声明反斜杠“”是转义字符。   假设表为tb,字段为col,要在col中查询包含“%”或“_”字符的字段,sql如下:   – Oracle   select * from tb where col like '%\%%' or col like '%\_%' escape ''   sql中“escap
jpa 动态sql拼接_Mybatis~08~动态SQL
weixin_36260304的博客
01-04 534
1、前言动态SQL指的是根据不同的查询条件 , 生成不同的Sql语句。如果有比较复杂的业务,我们需要写复杂的 SQL 语句,往往需要拼接,而拼接 SQL ,稍微不注意,由于引号,空格等缺失可能都会导致错误。mybatis 动态SQL,通过 if, choose, when, otherwise, trim, where, set, foreach等标签,可组合成非常灵活的SQL语句。2、...
sql特殊字符转义处理,防止注入
lychaox的专栏
09-23 8448
SQL特殊字符转义 应 该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安全问题。网络中有大量讲解 SQL 注入的文章,感兴
StringEscapeUtils的常用使用,防止SQL注入及XSS注入
热门推荐
小狮王的专栏
10-20 2万+
引入common-lang-2.4.jar中 一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能 官方参考文档 StringEscapeUtils.unescapeHtml(sname) 1.escapeSql 提供sql转移功能,防止sql注入攻击, 例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffe
MYSQL java处理sql与语句中的特殊字符
sdrfsef的博客
05-09 1581
' :用于包裹搜索条件,需转为 \' % :用于代替任意数目的任意字符,需转换为 \% _ :用于代替一个任意字符,需转换为 \_ \ :转义符号,需转换为 \\\\ \t : 需转换为 \\t \n : 需转换为 \\n * : 需转换为 \* str.replaceAll("\\\\", "\\\\\\\\") .replace("\'", "\\'") .replace("%", "\\%") .replace("_", "\\_") ....
JAVA特殊字符处理
ILoveController的博客
05-10 1万+
最近在维护OA系统的时候,刚好遇到几个类似的问题。总结了一下大概是下面三种情况。1.在拼接原生SQL的时候,特殊字符如【'】,破坏了SQL的完整性。public String escapeExprSpecialWord(String keyword) { if (StringUtils.isNotEmpty(keyword)) { String[] fbsArr...
JavaJPA中使用in原生SQL
海淀吴彦祖的博客
03-10 2063
如下: @Query(value="select * from tbl_name where name in (:names) ",nativeQuery = true) List<Bean> findAllByName(@Param("name") List<String> names);
JPA 编写sql语句 以及动态拼接sql语句
bingpo0的博客
08-26 4454
JPA SQL语句编写方式 刚刚接触JPA 如有不对地方欢迎指教。 第一种 // ClassName表示新建类名 CLass 表示要查询的类 // String 表示查询类的id类型 public interface ClassName extends JpaRepository<Class, String>, JpaSpecificationExecutor<Class>{ // 查询所有值 这里的表名就是要查询的类名 t 表示表的别名 @Query(value = "
Mybatis、JPA都是如何防止SQL注入
最新发布
qq_44985699的博客
08-09 696
mybatis和jpa如何防止sql注入
Java----工具类】字符串转义与反转义
Sunny
05-27 1万+
apache工具包common-lang中有一个很有用的处理字符串的工具类,其中之一就是StringEscapeUtils,这个工具类是在2.3版本以上加上的去的,利用它能很方便的进行html,xml,Java等的转义与反转义,而且还能对关键字符串进行处理预防SQL注入,不过好像common-lang3.0以后我看着好像没这个处理SQL语句的方法了,想用的话前提时引入对应的jar包,以下为它的部分...
Spring 的优秀工具类盘点,第 2 部分: 特殊字符转义和方法入参检测工具类
elimago的专栏
09-18 1381
Spring 不但提供了一个功能全面的应用开发框架,本身还拥有众多可以在程序编写时直接使用的工具类,您不但可以在 Spring 应用中使用这些工具类,也可以在其它的应用中使用,这些工具类中的大部分是可以在脱离 Spring 框架时使用的。了解 Spring 中有哪些好用的工具类并在程序编写时适当使用,将有助于提高开发效率、增强代码质量。在这个分为两部分的文章中,我们将从众多的 Spring
java sql 查询中的转义序列不对_数据库查询中遭遇特殊字符导致问题的解决方法...
weixin_42121754的博客
02-16 231
数据库查询中遭遇特殊字符导致问题的解决方法更新时间:2007年12月20日 22:12:42 作者:数据库查询中遭遇特殊字符导致问题的解决方法,我们提供的是asp的,但其它的数据库与语言下的解决方法也大同小异。数据库查询中的特殊字符的问题在进行数据库的查询时,会经常遇到这样的情况:例如想在一个用户数据库中查询他的用户名和他的密码,但恰好该用户使用的名字和密码中有特殊的字符,例如单引号,“|”号...
java处理sql注入方法——sql转义
xzw_123的专栏
01-13 8699
昨天被扫描出来sql注入问题,之前以为已经解决了,没想到还是出现了。 网上现有方法: 1、preparestatement 由于每次执行都需要prepare,所以不推荐使用 2、一个单引号变成两个replace("'","''")其他的字符串替代方法有着局限性,就不列举了。 我最开始使用的是2方法,但是还是有方法可以破解。 后来参考php的addslashes函数,写了一个java的e
javasql注入 转义_StringEscapeUtils的常用使用,防止SQL注入及XSS注入
weixin_30774211的博客
02-26 1678
引入common-lang-2.4.jar中一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能官方参考文档StringEscapeUtils.unescapeHtml(sname)1.escapeSql 提供sql转移功能,防止sql注入攻击,例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffer("select...
java中字符串转义避免sql注入
03-08
可以使用预编译语句或者使用转义字符来避免 SQL 注入。在预编译语句中,将 SQL 语句和参数分开,参数使用占位符代替,然后将参数传递给预编译语句,这样可以避免 SQL 注入。在使用转义字符时,将特殊字符转义为普通字符,例如将单引号转义为两个单引号。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值