java 防sql注入(转)

最新推荐文章于 2024-08-24 17:09:16 发布
最新推荐文章于 2024-08-24 17:09:16 发布
阅读量69 收藏
点赞数
文章标签: java

//: 防止一般SQL注入  
//  调用方法:PreventInfusion.sqlInfusion(str);  
public class PreventInfusion {  
    private static final String inj_str = "'@and@exec@insert@select@delete@update@count@*@%@chr@mid@master@truncate@char@declare@;@or@lock table@grant@drop@ascii@-@+@,";  
      
    private static String strReplace(String str, String restr) {  
        return str.replace(restr, "");  
    }  
      
    private static String dealNull(String str) {  
        String returnstr = null;  
        if (str == null)  
            returnstr = "";  
        else 
            returnstr = str;  
        return returnstr;  
    }  
      
    public static String sqlInfusion(String str) {  
        String inj_stra[] = inj_str.split("@");  
        str = dealNull(str);  
        str = str.toLowerCase();  
        for (int i = 0; i < inj_stra.length; i++) {  
            if (str.indexOf(inj_stra[i]) >= 0) {  
                str = strReplace(str, inj_stra[i]);  
            }  
        }  
        return str;  
    }  
      
    public static void main(String[] args) {  
        System.out.println(sqlInfusion(""));  
        System.out.println(sqlInfusion("null"));  
        System.out.println(sqlInfusion(null));  
        System.out.println(sqlInfusion("'adm'in,SELEct;"));  
    }  
}

 

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/183473/viewspace-670871/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/183473/viewspace-670871/

civcx62284
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javaSQL注入与XSS攻击
weixin_44976692的博客
01-15 2万+
通过了解和SQL注入和XSS攻击,我们能够提高Java应用的安全性,保护用户的信息免受威胁。大家好,欢迎来到本文!在Java开发中,安全问题一直备受关注,其中SQL注入和XSS攻击是两个常见的安全隐患。是一种攻击手段,通过在应用的用户输入中注入恶意的SQL代码,从而篡改、查询或者删除数据库中的数据。攻击者通过构造精巧的输入,使应用误认为这些输入是合法的SQL语句。**XSS攻击(跨站脚本攻击)**则是通过在Web页面中注入恶意脚本,使用户在浏览器上执行这些脚本,从而盗取用户信息或者执行一些恶意操作。
java过滤器sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!...外网可能会被攻击,简单的处理可以避免!...
java sql注入 正则_Java-java程序sql注入的方法
weixin_39580564的博客
02-15 1048
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:String sql= "select * from users where username=? and password=?;PreparedStatement preState = conn.prepareStatement(sql);preState.setString(1, userName...
Java Web开发SQL注入的解决办法
纵横的博客
05-03 2453
博文前言 先上sql注入的方式 PreparedStatement(简单又有效的方法)、使用正则表达式过滤传入的参数、字符串过滤、检查是否包函非法字符、页面判断代码。 -----------------------------------------------------华丽的分割线-------------------------------------------------------...
Java 止 SQL 注入工具类
weixin_33887443的博客
12-29 3016
2019独角兽企业重金招聘Python工程师标准>>> ...
InFusion错误类型分析
a1752807634的博客
12-26 313
1 God Class 1.1 特征 上帝类通常过多的操纵其他类的数据,从而破坏了类的封装性。上帝类从其他类中获得功能,同时增加了自身的耦合性,通常会导致自己具有规模过大和较高的复杂度。 判断一个上帝类的标准有: CPFD (Capsules Providing Foreign Data) 从多个不相关类(模块)中引用数据 WOC (Weighte...
Utils-SQL注入参数校验工具类
scdncby的博客
05-14 2269
package com.utils; import javafx.beans.binding.When; import org.apache.commons.lang3.StringUtils; import org.apache.ibatis.annotations.Case; import org.slf4j.Logger; import org.slf4j.LoggerFactory; ...
Java如何预SQL注入(通俗易懂)
sjs52406的博客
11-30 1184
本篇文章主要在于了解SQL注入攻击原理及御策略
javaSQL注入
zwjzone的博客
03-10 1229
springboot使用$符号传参,sql注入
javasql注入 义_Java-义字符串以sql注入
weixin_42384743的博客
02-26 1206
慕仙森PreparedStatement是可行的,因为它们使SQL注入成为不可能。下面是一个简单的示例,将用户的输入作为参数:publicinsertUser(Stringname,Stringemail){Connectionconn=null;PreparedStatementstmt=null;try{conn=setupTheDat...
javasql注入 义_StringEscapeUtils的常用使用,SQL注入及XSS注入
weixin_30774211的博客
02-26 1734
引入common-lang-2.4.jar中一个方便做义的工具类,主要是为了sql注入,xss注入攻击的功能官方参考文档StringEscapeUtils.unescapeHtml(sname)1.escapeSql 提供sql移功能,sql注入攻击,例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffer("select...
java 过滤器filtersql注入的实现代码
09-01
Java Web开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过恶意构造的SQL语句来操控数据库。为了止这种攻击,开发者通常会使用过滤器(Filter)来对用户输入进行预处理,确保输入的数据不会对系统造成危害...
javasql注入攻击过滤器
08-09
本篇文章将深入探讨如何在Java中实现一个SQL注入的过滤器,以及它的重要性。 SQL注入的原理是利用应用程序处理用户输入数据时的不足,将恶意SQL语句嵌入到原本合法的查询中。例如,如果一个登录接口的用户名字段...
sql注入Java过滤器
11-10
配置在web.xml中,可以SQL注入,可以自己定义一些需要过滤的特殊字符
基于ESAPI的sql注入jar包及使用示例.rar
10-17
**基于ESAPI的SQL注入技术** 在网络安全领域,SQL注入是一种常见的攻击手段,通过恶意构造SQL语句,攻击者可以获取、修改甚至删除数据库中的敏感数据。为了止这种攻击,开发人员通常会采用各种御策略,其中一...
开发多线程程序时,需要注意那些问题
OO_SEN的博客
08-23 504
线程安全 竞态条件(Race Condition):当多个线程同时访问和修改共享资源时,可能会出现竞态条件,导致不确定的行为。需要通过同步机制(如互斥锁、读写锁、原子操作)来保护共享资源。 死锁(Deadlock):当两个或多个线程相互等待对方释放锁时,程序会陷入死锁状态。避免死锁的一些策略包括:避免嵌套锁、确保加锁顺序一致、使用超时机制等。 活锁(Livelock):与死锁不同,活锁是指线程不断地尝试获取资源但总是失败,导致无法继续执行。避免频繁重试操作或使用退避算法可以减少活锁的发生。 优先级反(P
Yolov8:模型部署到安卓端
m0_70694811的博客
08-21 767
下载安装jdk-8u202-windows-x64.exe,这篇文章有百度网盘资源链接,直接下载,并按照这篇文章的JDK步骤进行安装和环境变量配置。C:\Program Files\Java\jdk-1.8\bin和C:\Program Files\Java\jdk-1.8\jre\bin。比如因为我的jdk路径是C:\Program Files\Java\jdk-1.8,所以这两个相对路径就改成。参考这边文章的USB驱动设置和手机端设置。同意协议后,下载相应版本的JDK。
笔记redis
风止的博客
08-22 1043
Redis(Remote Dictionary Server)是用C语言开发的一个基于的数据库。
linux上datax 安装以及使用
最新发布
寂夜了无痕的博客
08-24 712
linux上datax 安装以及使用
java sql注入的正则表达式
12-16
以下是两个JavaSQL注入的正则表达式: 1. 引用中的正则表达式: ```java private static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|" + "(\\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)"; private static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE); private boolean isValid(String str) { if (sqlPattern.matcher(str).find()) { logger.error("未能通过过滤器:str=" + str); return false; } return true; } ``` 2. 引用中的正则表达式: ```java public static boolean containsSqlInjection(Object obj){ Pattern pattern= Pattern.compile("\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b|(\\*|;|\\+|'|%)"); Matcher matcher=pattern.matcher(obj.toString()); return matcher.find(); } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值