Java防止SQL注入的几个途径

最新推荐文章于 2024-08-02 19:57:04 发布
最新推荐文章于 2024-08-02 19:57:04 发布
阅读量6k 收藏 4
点赞数 2
文章标签: sql注入

Java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构,大部分的SQL注入已经挡住了,在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。

import java.io.IOException;  
import java.util.Iterator;  
import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;  
/**  
* 通过Filter过滤器来防SQL注入攻击  
*  
*/ 
public class SQLFilter implements Filter {  
private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,";  
protected FilterConfig filterConfig = null;  
/**  
* Should a character encoding specified by the client be ignored?  
*/ 
protected boolean ignore = true;  
public void init(FilterConfig config) throws ServletException {  
this.filterConfig = config;  
this.inj_str = filterConfig.getInitParameter("keywords");  
}  
public void doFilter(ServletRequest request, ServletResponse response,  
FilterChain chain) throws IOException, ServletException {  
HttpServletRequest req = (HttpServletRequest)request;  
HttpServletResponse res = (HttpServletResponse)response;  
Iterator values = req.getParameterMap().values().iterator();//获取所有的表单参数  
while(values.hasNext()){  
String[] value = (String[])values.next();  
for(int i = 0;i < value.length;i++){  
if(sql_inj(value[i])){  
//TODO这里发现sql注入代码的业务逻辑代码  
return;  
}  
}  
}  
chain.doFilter(request, response);  
}  
public boolean sql_inj(String str)  
{  
String[] inj_stra=inj_str.split("\|");  
for (int i=0 ; i < inj_stra.length ; i++ )  
{  
if (str.indexOf(" "+inj_stra[i]+" ")>=0)  
{  
return true;  
}  
}  
return false;  
}  
}

也可以单独在需要防范SQL注入的JavaBean的字段上过滤:

/**  
* 防止sql注入  
*  
* @param sql  
* @return  
*/ 
public static String TransactSQLInjection(String sql) {  
return sql.replaceAll(".*([';]+|(--)+).*", " ");  
}
零壹911
关注
防止sql 注入的方法
yezongzhen的博客
05-08 224
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录...
防止SQL注入的五种方法
更南的南z
03-27 1499
防止SQL注入的五种方法一、SQL注入简介二、SQL注入攻击的总体思路三、SQL注入攻击实例四、应对方法 一、SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQL注入是比较常见的网络攻击方式之一,它不是
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
Java防止SQL注入
wl_ldy的专栏
02-03 3536
1. 定义: 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 2. 防止SQL注入的方法: A:使用PreparedStatement代替Statement    1)使用PreparedStatement 比Statement的代码的可读性和可维护性更好.    2)PreparedStatem
Java防止sql注入的正则表达式
最新发布
tonysh_zds的博客
08-02 151
/ 使用正则表达式过滤SQL注入关键词。
java中防sql注入_Java防止SQL注入
weixin_42461108的博客
02-27 132
Java防止SQL注入SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:比如在一个登陆界面,要求用户输入用户名和密码:用户名: ' or 1=1 --密 码:点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:String sql="select ...
java防止sql注入
weixin_34111819的博客
05-30 47
public final static String filterSQLInjection(String s) { if (s == null || "".equals(s)) { return ""; } try { s = s.trim().replaceAll("&lt;/?[s,S][c,C][r,R][i,I][p,P...
自己动手编写SQL注入漏洞扫描工具
02-20
编写SQL注入扫描工具,我们需要关注以下几个关键点: 1. **目标识别**:确定要扫描的目标网站或Web应用,收集其URL结构和可能的输入点。 2. **数据构造**:创建一系列测试用例,包括常见的注入字符串,如`' OR 1=1...
防范SQL注入漏洞的有效途径
什么是SQL注入漏洞 SQL注入漏洞是一种常见的Web应用程序安全漏洞,允许恶意用户执行未经授权的SQL查询,修改数据库数据甚至获取敏感信息。在本章中,我们将介绍SQL注入漏洞的定义和原理,以及它可能产生的影响和...
数据库连接池的安全性:防止SQL注入和数据泄露,保护数据安全
![数据库连接池的安全性:防止SQL注入和数据泄露,保护数据安全]...%5B%5D%28https%3A%2F%2Fp3-juejin.byteimg.com%2
java sql inj_Java防止SQL注入几个途径
weixin_29821699的博客
02-13 245
javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQ...
java程序防止sql注入的方法
jun0052的专栏
01-25 1万+
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。 第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setStrin
Java防止SQL注入的方法
jack_shuai的博客
05-08 3493
一、SQL 注入简介:SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入: 1、比如在一个登陆界面,要求用户输入用户名和密码: 用户名: ' or 1=1 -- 密 码: 点登陆,如若没有做特殊处...
java项目中如何防止sql注入
热门推荐
alan_liuyue的博客
03-07 2万+
简介 SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令; 实践 项目中如何防止sql注入呢,有以下三点: 前端表单进行参数格式控制; 后台进行参数格式化,过滤所有涉及sql的非法字符; //参考:https://freeman983.iteye.com/blog/1153989 //过滤 '...
关于JavaSQL注入的方法研究
小码农的成长
05-03 2451
一种是对登陆的获得的变量进行特殊字符判断 一种是在登陆的时候使用PreparedStatement进行查询,可以有效的方式SQL注入 在说如何防止之前首先我先说一下造成SQL注入的原因是因为程序员书写的原因  一般来说SQL注入很多时候都是SQL语句拼接造成的。 方法一: //过滤 ‘ //ORACLE 注解 -- /**/ //关键字过滤 update ,dele
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值