JAVA中的防SQL注入攻击

最新推荐文章于 2024-03-10 17:09:33 发布
最新推荐文章于 2024-03-10 17:09:33 发布
阅读量427 收藏
点赞数
分类专栏: JavaWeb 文章标签: JAVA MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a9876rtyui/article/details/103002294
版权

       要想知道怎么防SQL注入攻击,就要先了解什么是SQL注入攻击。SQL注入攻击是网络中一种常见的攻击方式,

它利用程序中的疏忽,在参数中加入一些关键字对SQL语句进行更改,将密码验证部分的功能架空,从而实现无需

密码进行登录,甚至是对数据库进行破坏。在另一篇文章里提到的statement语句就有可能出现这样的情况。

        那么怎么防止SQL注入攻击呢,方式其实有很多。这里介绍两种:

        一、正则表达式

        既然攻击是通过参数对关键字进行修改的,那么我们就可以用一个正则表达式对传入的参数进行限制,如果参数

中含有能对SQL语句造成影响的特殊符号或关键字,就退出程序,返回输入不合法的提示。

        二、PreparedStatement

        PreparedStatement语句是预编译的语句对象,他可以先将语句中的参数用占位符 ?代替,形成一个语句骨架发送

到服务器上,让服务器编译确定下来,这样,后面传进来的参数即使有特殊符号和关键字,也不会再对SQL产生影响了。

下面是例子:

/**
 * 根据用户名和密码查询用户信息
 * 通过PreparedStatement对象防止SQL注入攻击问题
 * @param username 
 * @param password
 */
private static void login(String username, String password) {
    Connection conn = null;
    PreparedStatement ps = null;
    ResultSet rs = null;
    try {
       //注册驱动并获取连接
       conn = JdbcUtil.getConn();
       //获取传输器并发送sql到服务器执行
       String sql = "select * from user where username=? and password=?";
       //将sql骨架发送给服务器,让服务器编译并确定下来(防止篡改)
       ps = conn.prepareStatement( sql );
       //将参数值传过去替换占位符
       ps.setString( 1 ,  username );
       ps.setString( 2 ,  password );
       //执行sql语句,返回执行结果
       rs = ps.executeQuery();
       
       //处理结果
       if( rs.next() ) {//用户名密码正确
           System.out.println("恭喜您登录成功!");
       }else {//用户名密码不正确
           System.out.println("登录失败,用户名或密码错误!");
       }
       
    } catch (Exception e) {
       e.printStackTrace();
    } finally {
       //释放资源
       JdbcUtil.close(conn, ps, rs);
    }
}

 

XCXCode
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javasql注入方正_有效SQL注入的5种方法总结
weixin_39517357的博客
02-27 1074
sql注入入门SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是御却远远没有XSS那么困难。SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句,导致了SQL 注入漏洞。演示下经典的SQL注入我们看到:select id,no from user where id=2;如果该语句是通过sql字符串拼接得到的,比如: String sql...
javasql注入攻击过滤器
08-09
5. **使用预编译的SQL语句(PreparedStatement)**:除了过滤器之外,还应该使用PreparedStatement来执行SQL查询,因为它们可以自动止基本的SQL注入攻击。预编译的语句会将参数与SQL语句分开处理,从而消除大部分...
java:正则表达式检查SQL WHERE条件语句止注入攻击和常量表达式
10km的专栏
12-16 4337
止外部输入的SQL语句包含注入式攻击代码,主要作法就是对字符串进行关键字检查,禁止不应该出现在SQL语句的关键字如 `union` `delete`等等,同时还要允许这些字符串作为常量字符串的内容出现在SQL 语句。 对于 `where 1=1`这种用法,虽然不能算是注入攻击,但在有的情况下属于危险用法 比如在`DELETE`语句会删除全表数据。也应该被警告或禁止。 针对这种情况可以通过正则表达式实现对SQL语句的安全检查
Java项目SQL注入的方式总结
睡竹的博客
03-02 9529
Java项目SQL注入的方式总结 springboot配置请求过滤器SQL注入 nginxSQL注入 mybatisSQL注入
深入理解Java应用开发的注入攻击及其护策略
最新发布
里查叔叔
03-10 770
注入攻击Java应用开发常见的安全威胁之一,对应用程序的安全性和稳定性构成严重威胁。为了保护应用程序免受注入攻击的侵害,开发者需要采取一系列综合的护策略,包括输入验证与过滤、参数化查询、最小权限原则、安全编码与审计、安全更新与补丁管理以及监控与日志记录等。只有全面考虑并应用这些护策略,我们才能确保Java应用的安全性和稳定性。
JAVA-SQL注入攻击
dxm809的博客
12-27 727
CREATE TABLE users(     id INT PRIMARY KEY AUTO_INCREMENT,     username VARCHAR(100),     PASSWORD VARCHAR(100) ); INSERT INTO users(username,PASSWORD) VALUES('a','1'),('b','2'); SELECT * FROM user...
JAVASQL注入攻击类的源代码
04-26
JAVASQL注入攻击类的源代码(包含网页版和程序代码两部分)
java过滤器sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! ...
mybatisSQL注入的方法实例详解
08-27
在对应的 Java 文件,可以使用预编译语句来避免 SQL 注入攻击: ```java public interface UserMapper{ String getNameByUserId(String userId); } ``` 结论 SQL 注入攻击是一种简单的攻击手段,但可以通过...
Java WebSQL注入攻击.pdf
09-19
Java WebSQL注入攻击Java Web平台因其跨平台性和"一次编写,到处运行"的特性,被广泛应用在各种web应用程序开发。然而,如果不妥善处理用户输入,就可能为SQL注入攻击提供机会。以下是一些Java Web环境...
sql注入demo
07-12
javasql注入的filter 如果好用,别忘记了来评论一下,受益于更多的人
攻击JavaWeb应用[3]-SQL注入[1]
xiaoshan812613234的专栏
11-14 1797
注:本节重点在于让大家熟悉各种SQL注入JAVA的表现,本想带点ORM框架实例,但是与其几乎无意,最近在学习MongoDb,挺有意思的,后面有机会给大家补充相关。 0x00 JDBC和ORM JDBC: JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问。
JavaSQL注入的一些途径
主题模板站的博客
01-31 2218
javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来SQL注入比如用Filter来过滤全局的表单参数。35 //TODO这里发现sql注入代码的业务逻辑代码。
JavaSQL注入的几个途径
零壹
12-17 5976
JavaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构,大部分的SQL注入已经挡住了,在WEB层我们可以过滤用户的输入来SQL注入
JAVA注入-Mysql
Jeromeyoung
11-10 2231
简介 通常在java开发过程,凡是涉及到数据库数据的操作都会存在sql语句拼接的问题,而拼接的sql语句往往会造成注入漏洞,所以为了止注入的产生,在开发过程都应该注意这一点。 正文 在java数据库拼接的过程,为了止注入的产生,一般我们会使用PreparedStatement对象来解决这个问题,这里以mysql数据库作为主要对象! PreparedStatement:执行sql的对象: SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 ​ 1、输入用户随
java止xss注入攻击
辰辰呐的博客
11-10 6536
后面附录有三个.java文档 1.把文档拷进项目(最好建立一个单独的包存放),然后修改引入路径,看到不报错那么第一步完成。 2.打开web.xml配置文件 xssFilter cn.parent.xss.XssFilter xssFilter /* 测试: 在输入框输入 cript>alert('aa') 点击提交或
JavaSQL注入
三千弱水的专栏
09-23 4079
JavaSQL注入 SQL 注入简介:         SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法 用户钻了SQL的空子,下面我们先来看下什么是SQL注入:         比如在一个登陆界面,要求用户输入用户名和密码:         用户名:     ' or 1=1
Java SQL注入过滤器代码
热门推荐
seesun2012的专栏
01-14 3万+
前言 浅谈SQL注入: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,达到一定的非法用途。 解决办法 1、配置WEB-INF/web.xml web-app> welcome-file-list> welcome-file>index.htmlwe
java项目如何sql注入
alan_liuyue的博客
03-07 2万+
简介 SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令; 实践 项目如何sql注入呢,有以下三点: 前端表单进行参数格式控制; 后台进行参数格式化,过滤所有涉及sql的非法字符; //参考:https://freeman983.iteye.com/blog/1153989 //过滤 '...
Java如何sql注入攻击
03-08
Java可以通过使用PreparedStatement和CallableStatement来SQL注入攻击。这两种语句都使用参数化查询,将用户输入的数据作为参数传递给SQL语句,而不是将用户输入的数据直接拼接到SQL语句。这样可以避免恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值