防止SQL注入的方法(エスケープ処理)

最新推荐文章于 2022-05-25 22:19:35 发布
最新推荐文章于 2022-05-25 22:19:35 发布
阅读量280 收藏 1
点赞数
文章标签: sql 数据库 database
aaa
本文链接:https://blog.csdn.net/djydjy3333/article/details/122764111
版权

エスケープとは、HTML上で特殊文字を期待通りに表示するために施す処理のことです
指定された文字列中に存在する SQL 上特別な意味を持つ文字をエスケープします.

package exam;

import com.sun.deploy.util.StringUtils;

public class Test4 {
    public static void main(String[] args) {
        String target = "%a\\bc_defgh";
        if (target == null) {
            throw new IllegalArgumentException("Target argument is null.");
        }//方式sql注入
        //エスケープとは、HTML上で特殊文字を期待通りに表示するために施す処理のことです
        //指定された文字列中に存在する SQL 上特別な意味を持つ文字をエスケープします.<br>
        target = StringUtil.replace(target, "\\", "\\\\");
        target = StringUtil.replace(target, "'", "''");
        target = StringUtil.replace(target, "%", "\\%");
        target = StringUtil.replace(target, "_", "\\_");
        target = StringUtil.replace(target, "%", "\\%");
        target = StringUtil.replace(target, "a", "b");
        String replace = StringUtil.replace(target, "_", "\\_");
        System.out.println("replace = " + replace);
    }
}

class StringUtil {
    public static String replace(String target, String replaceFrom, String replaceTo) {
        if (target == null) {
            throw new IllegalArgumentException("Target argument is null.");
        }
        if (replaceFrom == null) {
            throw new IllegalArgumentException("ReplaceFrom argument is null.");
        }
        if (replaceFrom.length() == 0 || replaceTo == null) {
            return target;
        }

        int begin;
        int end;

        String checking = new String(target);
        StringBuffer buffer = new StringBuffer();

        while (checking.length() != 0) {
            // 文字列中に置き換え対象文字列がないかどうかを調べる
            begin = checking.indexOf(replaceFrom);
            if (begin == -1) {
                // 文字列中に置き換え対象文字列が見つからなかった
                // ので、残りの文字列には置き換えは必要ない
                buffer.append(checking);
                break;
            } else {
                // 文字列中に置き換え対象文字列が見つかったので
                // 置き換え終了位置を求める
                end = begin + replaceFrom.length();
                buffer.append(checking.substring(0, begin));
                // 置き換え後文字列を置き換え対象文字列のかわりに使う
                buffer.append(replaceTo);
                checking = checking.substring(end);
            }
        }

        return buffer.toString();
    }
}

在这里插入图片描述

zhangsan3333
关注
mybatis是如何防止sql注入
学Java,找哪吒
07-09 1万+
Java基础教程系列,打造精品专栏。
防止sql注入-PHP防SQL注入不要再用addslashes和htmlspecialchars()和addslashes()函数了
热门推荐
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
01-09 3万+
A、首先说说htmlspecialchars()和addslashes()函数吧: 在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经nul...
sql的封装,不需要使用StringBuffer进行字符串拼接
04-15
sql的封装,不需要使用StringBuffer进行字符串拼接 直接使用对象封装
パタンの中の
二进制的专栏
07-28 852
パタンを表す文字列の中には任意の文字を記述することが出来ますが、特殊な用途で使用される文字にはが必要となります。 ¥ * + . ? { } ( ) [ ] ^ $ - | これらの文字はパタンの中で使用されると特別な意味を持ちます。そこで単なる文字として扱いたい場合には「¥」記号を使ってを行います。例えば次のように記述します。 ¥¥ ¥* ¥| "¥*
参数化SQL语句一定程度上防止SQL注入
weixin_30730053的博客
07-17 133
public bool InsertAdmin(string userName, string password, string remark, string mail, int departId, int power)ÆïǾLâ½íwww.netcsharp.cnQfòç=€û\ { string sql = "insert into S_Admin(UserName...
SQL注入的处
蜗牛程序员
01-10 479
1. import java.util.regex.Matcher; import java.util.regex.Pattern; import org.apache.commons.lang.StringUtils;   /*    * 去掉请求中的js、html、style、等字符,防止xss攻击    * add by hanminqiang 2015-07-28 18
表名动态生成拼接到sql语句的sql注入问题
dhklsl的专栏
11-15 7825
背景:根据业务需要,每个月生成一张根据年份和月份的表,然后当前的数据存到当前月份的表。 关键代码如下: String tabName = "tabsaveevent" + strYear + strMonth; String sqlSave = "insert into " + tabName + " (id,serializeObj,methodName,createTi...
如何防止sql注入防止sql注入方法介绍
小小博客爱分享
08-18 7419
一、什么叫SQL注入攻击?sql注入简介 SQL注入是较为普遍的互联网攻击方法,它并不是通过电脑操作系统的BUG来完成攻击,而是对于程序编写时的疏漏,利用SQL语句,达到无帐号登录,乃至改动数据库的目的。 SQL注入产生的原因便是:没经查验或是未充分检验的输入数据,出现意外变成了sql代码而被执行。对于SQL注入,则是递交的数据,被数据库系统编译而造成了开发人员预估以外的问题。也就是说,SQL注入是用户的输入信息,在连接SQL语句的过程中,跨越了数据本身,变成了SQL语句逻辑的一部分,随后被拼凑的SQL
7、springboot-防止sql注入
aunt_y的博客
05-25 4528
疫情大数据平台是一个公益的项目,但很可能被网络上大量的扫描器扫描,并有可能收到脚本的攻击,而进行防御就是很重要的,可以有效的避免我们被攻击。 本篇主要讲述防止sql注入部分 sql注入是什么 ​ SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。 ​ 而SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。 ​ 如Web应用程序的开发人员对用户所输入的数据或cooki
防止SQL注入方法和最优解
weixin_39210100的博客
12-28 2万+
防止SQL注入方法和最优解      学习慕课网的WEB安全之SQL注入课程后和百度相关文章后的总结,主要为解决 思路,相关操作自行到慕课网观看。 一、存在问题 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不 同),意思就是让应用运行本不应该运行的SQL代码。通过把SQL命令插入到Web 表单递交或输入域名或页面请求的查询字符串,就会造成一些出人意料
SQL注入相关语句
にん しゅう けん の 专栏
12-24 642
<br /><br />1、返回的是连接的数据库名 <br />and db_name()>0 <br />2、作用是获取连接用户名 <br />and user>0 <br />3、将数据库备份到Web目录下面 <br />;backup database 数据库名 to disk='c:/inetpub/wwwroot/1.db';-- <br />4、显示SQL系统版本 <br />and 1=(select @@VERSION) 或and 1=convert(int,@@version)-- <br
java 防止sql xxs注入,StringEscapeUtils的常用使用,防止SQL注入及XSS注入
weixin_39659748的博客
03-19 728
StringEscapeUtils类可以对html js xml sql 等代码进行转义来防止SQL注入及XSS注入一、增加pomcommons-langcommons-lang2.6二、简单使用1.html脚本escapeHtml转义html脚本unescapeHtml反转义html脚本System.out.println(StringEscapeUtils.escapeHtml("abc")...
Hadoop源码分析笔记(NameNode启动流程)
美美的大猪蹄子的博客
10-15 367
一、准备工作 安装idea 下载hadoop源码 https://archive.apache.org/dist/hadoop/common/hadoop-2.7.0/hadoop-2.7.0-src.tar.gz 将源码导⼊idea⼯具(直接导⼊即可,具体方法百度) 二、开始!冲! (一)NameNode启动流程 跟踪NameNode启动的主流程源码 1) Ctrl + N 搜索类名 NameNode,查看类注释,line 133 /**********************************
StringEscapeUtils的常用使用,防止SQL注入及XSS注入
小狮王的专栏
10-20 2万+
引入common-lang-2.4.jar中 一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能 官方参考文档 StringEscapeUtils.unescapeHtml(sname) 1.escapeSql 提供sql转移功能,防止sql注入攻击, 例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffe
StringBuilder--拼接Sql语句防Sql注入
weixin_30485799的博客
01-24 1776
1、首先需要填写一个StringBuilder的扩展类 namespace Code.Common { /// <summary> /// 扩展StringBuilder方法 /// 防止Sql注入 /// </summary> public static class StringBuilderExtend ...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6666
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
.NET防止SQL注入攻击的正则表达式方法
本文档提供了一种在.NET环境中防止SQL注入攻击的方法,通过使用正则表达式来清除或替换可能的恶意输入。 SQL注入攻击是一种常见的网络安全威胁,攻击者通过在用户输入的数据中插入恶意SQL代码,试图绕过应用程序的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值