java防sql注入方法小结

最新推荐文章于 2024-05-15 09:16:44 发布
最新推荐文章于 2024-05-15 09:16:44 发布
阅读量4k 收藏 2
点赞数 1
分类专栏: java 数据库 web安全 文章标签: java 防sql注入 数据库 Hibernate
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenjhit/article/details/78253216
版权
java 同时被 3 个专栏收录
17 篇文章 0 订阅
订阅专栏
数据库
3 篇文章 0 订阅
订阅专栏
web安全
2 篇文章 0 订阅
订阅专栏

本文对java操作数据库的一项重点内容——防sql注入进行说明。对现有方法进行了简单优劣讨论与总结,供大家参考讨论。

重点:不要将用户输入内容,在未经检查的情况下,直接拼接为sql语句进行数据库访问操作。

防sql注入方法如下:

  • 过滤输入
    对输入内容进行充分过滤,可以利用正则表达式进行匹配。
    例如:“(?:’)|(?:–)|(/\*(?:.|[\n\r])?\/)|(and|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare)”
    优点:可快速完成对存在sql注入隐患的程序改造;
    缺点:会对包含过滤关键字的正常内容进行过滤,可能影响正常功能;过滤可能不完备,依然存在sql注入隐患。

  • 预编译语句
    采用预编译语句集(PreparedStatement),它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。
    优点:代码的可读性和可维护性;PreparedStatement尽最大可能提高性能;最重要的一点是极大地提高了安全性。
    缺点:对每一条数据库操作语句都需要进行处理,代码开发会比较麻烦一些。

  • 使用框架
    使用框架标准的数据库访问类,如:Hibernate框架的Criteria、HibernateDaoSupport等类,并且可以使用反射技术,使得代码通用性比较高。
    优点:框架由经验丰富的程序员开发,远比自己开发的程序要完备;直接使用框架,不用考虑具体细节。
    缺点:需要对框架进行学习,遵循框架规则进行使用。

==================================
==疑问?帮助?批评?欢迎评论 | QQ:593159978==
==================================

chenjhit
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java sql注入代码
05-11
很强大的SQL注入,针对JAVA系统 方便使用,作为过滤器使用。
SQL注入攻击与
10-04
针对SQL注入隐蔽性极强的特点,本书重点讲解了SQL注入的排查方法和可以借助的工具,总结了常见的利用SQL漏洞的方法。另外,本书还专门从代码层和系统层的角度介绍了避免SQL注入的各种策略和需要考虑的问题。  本书...
sql防止注入正则匹配
qq_40127376的博客
09-10 2906
通用所有,正则之前转小写 (.*\=.*\-\-.*)|(.*\|\|.*)|(.*\s+(and|or)\s+.*) 完美匹配
Java如何预SQL注入(通俗易懂)
sjs52406的博客
11-30 1141
本篇文章主要在于了解SQL注入攻击原理及御策略
Java项目防止SQL注入的四种方案
最新发布
Wewe的博客
05-15 295
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列。
Java项目防止SQL注入的方式总结
睡竹的博客
03-02 9519
Java项目防止SQL注入的方式总结 springboot配置请求过滤器防止SQL注入 nginx防止SQL注入 mybatis防止SQL注入
java SQL注入正则
英俊的博客
04-06 1万+
/**正则表达式**/ private static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|" + "(\\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|
java:正则表达式检查SQL WHERE条件语句防止注入攻击和常量表达式
10km的专栏
12-16 4293
防止外部输入的SQL语句包含注入式攻击代码,主要作法就是对字符串进行关键字检查,禁止不应该出现在SQL语句中的关键字如 `union` `delete`等等,同时还要允许这些字符串作为常量字符串中的内容出现在SQL 语句中。 对于 `where 1=1`这种用法,虽然不能算是注入攻击,但在有的情况下属于危险用法 比如在`DELETE`语句会删除全表数据。也应该被警告或禁止。 针对这种情况可以通过正则表达式实现对SQL语句的安全检查
参数化查询预SQL注入代码原理展示!
就是我的博客
08-28 123
身为安全人员在给开发人员进行网络安全培训时进行代码演示必不可少,本文使用java演示sql注入漏洞原理与方法
SQL注入攻击与御(安全技术经典译丛)
02-19
针对SQL注入隐蔽性极强的特点,本书重点讲解了SQL注入的排查方法和可以借助的工具,总结了常见的利用SQL漏洞的方法。另外,本书还专门从代码层和系统层的角度介绍了避免SQL注入的各种策略和需要考虑的问题。  本书...
SSH学习小结SSH学习小结
08-11
**Spring框架** 是一个全面的后端应用开发框架,它提供了依赖注入(DI)和面向切面编程(AOP)等关键功能,简化了Java应用的复杂性。Spring还包含了对数据库操作的支持,如JDBC抽象层,以及用于处理Web请求的MVC框架...
学习上的一些小结,主要是java和C#等
05-09
Java中,JDBC(Java Database Connectivity)是连接数据库的标准API,允许开发者通过SQL与各种数据库进行交互。C#则通过ADO.NET(Application Data Objects .NET)进行数据库操作,它提供了对数据库的全面支持,包括...
JDBC用法小结
09-04
预编译的语句可以防止SQL注入攻击,也可以被数据库优化。例如: ```java PreparedStatement pstmt = conn.prepareStatement("INSERT INTO users VALUES (?, ?)"); pstmt.setString(1, "John"); pstmt.setInt(2, 25)...
java sql注入 正则_Java-java程序防止sql注入方法
weixin_39580564的博客
02-15 1033
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:String sql= "select * from users where username=? and password=?;PreparedStatement preState = conn.prepareStatement(sql);preState.setString(1, userName...
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
sql注入式攻击(Java字符串校验,高可用性)
红目香薰
01-03 6677
什么是SQL注入攻击? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击. SQL注入攻击指的
特殊字符检测工具(防止传入非法字符和sql注入攻击)
心若有所栖,何似风飘缈。
09-02 1306
特殊字符检测工具(防止传入非法字符和sql注入攻击)
java如何防止sql注入
weixin_44965143的博客
02-11 5768
什么是sql注入 SQL注入是比较常见的网络攻击方式之一,在客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令;它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库sql注入可能产生的影响 恶意用户可以未经授权访问您的应用程序并窃取数据。 他们可以更改,删除数据库中的数据并关闭您的应用程序。 黑客还可以通过执行数据库特定...
java代码审计】SQL注入
m0_52923241的博客
02-28 649
没有正确的对用户的输入进行检查,将用户的输入以拼接的方式带入到SQL语句中,导致SQL注入
Java 防止SQL注入方法
03-31
使用PreparedStatement代替Statement,PreparedStatement是预编译的SQL语句,可以有效防止SQL注入攻击。 2. 输入校验 对用户输入的数据进行校验,只允许输入合法的数据,过滤掉特殊字符。 3. 使用ORM框架 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值