对于防止SQL注入的研究(JAVA代码实现)

最新推荐文章于 2023-10-06 19:41:27 发布
最新推荐文章于 2023-10-06 19:41:27 发布
阅读量9.1k 收藏 2
点赞数
分类专栏: JAVA代码区 文章标签: sql java jdk insert delete api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h72001346/article/details/3450396
版权

 

有两种方法,一种是对登陆的获得的变量进行特殊字符判断

一种是在登陆的时候使用PreparedStatement进行查询,可以有效的方式SQL注入

 

第一种方法

SqlString.java

  1. package com.test.util;
  3. public class SqlString {
  4.   public static boolean sql_inj(String str) {
  5.     String inj_str = "':and:exec:insert:select:delete:update:count:*:%:chr:mid:master:truncate:char:declare:;:or:-:+:,";
  6.     String inj_stra[] = inj_str.split(":");
  7.     for (int i = 0; i < inj_stra.length; i++) {
  8.       if (str.indexOf(inj_stra[i])!=-1) {
  9.         return false;
  10.       }
  11.     }
  12.     return true;
  13.   }
  15. }

调用的时候使用如下语句:

boolean f = SqlString.sql_inj(username);

 

PS:我在网上看过以上代码他们用的分隔符号是“|”但是我在使用的过程中,发现String inj_stra[] = inj_str.split("|");时是把所有字符号都分开了,不是拆分的字符串,而是拆分成字符,我用的JDK1.5,不知道是不是JAVA版本的问题,我查看JDK1.5的API的例子是用的“:”分隔的,所以我也用这个符号分隔,就可以把每个字符串拆分开来。

 

第二种方法就是查询的时候使用PreparedStatement

  1. sql="select * from admin where username=? and password=?";
  2. PreparedStatement psmt= con.prepareStatement(sql);
  3. psmt.setString(1,username);
  4. psmt.setString(2,password);
  5. ResultSet rs = psmt.executeQuery();
  6. if(rs.next){
  7. rs.close();
  8. con.close();
  9. return false;
  10. }
  11. else{
    • rs.close();
    • con.close();
  13. return true;
  14. }

这样就可以了

h72001346
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Java项目防止SQL注入的四种方案
学IT,找陈寒
10-10 9022
SQL注入是一种严重的安全漏洞,但通过采取适当的预防措施,可以有效地防止它。在Java项目中,使用预编译语句、输入验证和过滤、ORM框架以及安全的数据库访问库是防止SQL注入攻击的四种常见方法。选择适合你的项目的方法,并始终保持警惕,以确保你的应用程序免受潜在的威胁。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线2023年完整版Java学习路线图AIGC人工智能Chat GPT是什么,初学者怎么使用Chat GPT,需要注意些什么Java实战项目。
Java防止SQL注入的一些途径
主题模板站的博客
01-31 2216
javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。35 //TODO这里发现sql注入代码的业务逻辑代码
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
推荐几个Java项目防止SQL注入的方法
Javaの甘乃迪的博客
10-06 669
Java项目防止SQL注入的几种方案
JavaSQL注入过滤器代码
seesun2012的专栏
01-14 3万+
前言 浅谈SQL注入: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,达到一定的非法用途。 解决办法 1、配置WEB-INF/web.xml web-app&amp;amp;gt; welcome-file-list&amp;amp;gt; welcome-file&amp;amp;gt;index.htmlwe
java 过滤器filter防sql注入实现代码
09-01
本文将详细介绍如何使用Java Filter实现防止SQL注入的功能。 首先,我们需要创建一个实现了`javax.servlet.Filter`接口的类,例如名为`XSSFilter`。这个类将负责拦截请求并处理可能存在的SQL注入风险。下面是一个...
SQL过滤,防止被注入,造成财产损失代码java实现
01-31
SQL过滤,防止被注入,造成财产损失代码java实现SQL过滤,防止被注入,造成财产损失代码java实现SQL过滤,防止被注入,造成财产损失代码java实现SQL过滤,防止被注入,造成财产损失代码java实现SQL...
java持久层框架mybatis防止sql注入的方法
09-01
因此,了解并实施防止SQL注入的方法对于保障应用程序的安全至关重要。 MyBatis提供了多种机制来防止SQL注入,其中最常用且有效的一种是使用预编译的SQL语句,即PreparedStatement。在MyBatis中,我们通常使用`#{}`...
防止sql注入java代码
08-13
该文档整理了防止sql注入java代码,希望对你能有所帮助!
Java防止SQL注入的几个途径
12-14
Java 防止 SQL 注入的几个途径 Java 防止 SQL 注入是一个非常重要的安全问题。SQL 注入攻击是黑客最常用的攻击方式之一,它可以让攻击者访问或修改数据库中的敏感信息。因此,防止 SQL 注入是 Java 开发者必须注意...
Web扫描SQL注入漏洞 Java
05-03
带源码的Java版的web注入漏洞扫描工具
SQL注入 代码 主要是拦截
09-30
里面提供了主要的防sql注入代码 及如何拦截
java类过滤器,防止页面sql注入
sytylyl的专栏
10-16 1万+
package com.tarena.dingdang.filter; import java.io.IOException; import java.util.Enumeration; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import
C#防SQL注入代码的三种方法
甫子陵的博客
08-07 1万+
C#防SQL注入代码的三种方法
三种执行SQL语句的的JAVA代码
01-14 7990
问题描述:   连接数据库,执行SQL语句是必不可少的,下面给出了三种执行不通SQL语句的方法。 1.简单的Statement执行SQL语句。有SQL注入,一般不使用。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ...
java代码_SQLJava代码写法
weixin_39869693的博客
10-23 193
  根据某一条件从数据库表中查询 『有』与『没有』,只有两种状态,那为什么在写SQL的时候,还要select count(*) 呢?   无论是刚入道的程序员新星,还是精湛沙场多年的程序员老白,都是一如既往的count.   目前多数人的写法   多次 review 代码时,发现如现现象:   业务代码中,需要根据一个或多个条件,查询是否存在记录,不关心有多少条记录。普遍的S...
java代码审计之sql注入
糖小喵
04-13 912
检查点:数据库查询 前言: 在 Java 中,操作SQL的主要有以下几种方式: java.sql.Statement java.sql.PrepareStatement 使用第三方ORM框架 ——MyBatis或Hibernate 下面我们来分析以上几种执行SQL的方式。 java.sql.Statement java.sql.Stateme...
java js 注入_Java如何防止JS脚本注入代码实例
weixin_36330704的博客
02-24 542
Java如何防止JS脚本注入代码实例,符号,脚本,顺序,视图,表情Java如何防止JS脚本注入代码实例易采站长站,站长之家为您整理了Java如何防止JS脚本注入代码实例的相关内容。1.java防止JS脚本注入的工具类-通用public class XssUtil {private static Map xssMap = new LinkedHashMap();private static Map...
代码审计[java 安全编程] - T00LS
最新发布
04-20
最有效的防止SQL注入的方法是使用预编译的SQL语句,如Java的`PreparedStatement`。这允许将参数值与SQL命令分开,从而避免了直接的数据拼接。 **漏洞示例二:预编译使用有误** 尽管使用了`PreparedStatement`,但...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值