java使用正则表达式过滤sql注入

现有项目有大量的后台查询没有使用预处理,所以前台必须使用过滤器对参数做过滤以防止sql注入。



原有方法,使用字符检索过滤:
private boolean isValid(String p) {

p = p.toUpperCase();

if (p.indexOf("DELETE") >= 0 || p.indexOf("ASCII") >= 0
|| p.indexOf("UPDATE") >= 0 || p.indexOf("SELECT") >= 0
|| p.indexOf("'") >= 0 || p.indexOf("SUBSTR(") >= 0
|| p.indexOf("COUNT(") >= 0 || p.indexOf(" OR ") >= 0
|| p.indexOf(" AND ") >= 0 || p.indexOf("DROP") >= 0
|| p.indexOf("EXECUTE") >= 0 || p.indexOf("EXEC") >= 0
|| p.indexOf("TRUNCATE") >= 0 || p.indexOf("INTO") >= 0
|| p.indexOf("DECLARE") >= 0 || p.indexOf("MASTER") >= 0
) {

logger.error("未能通过过滤器:p=" + p);

return false;
}
return true;
}



缺点,对于 UPDATEOK,BORD 这样的参数也会被过滤掉,对于/**/ 或者 /**ABC*/就很难做出判定了。



使用正则表达式过滤:

//过滤 ‘
//ORACLE 注解 -- /**/
//关键字过滤 update ,delete

static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"
+ "(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";

static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);

/***************************************************************************
* 参数校验
*
* @param str
*/
public static void isValid(String str) {

if (sqlPattern.matcher(str).find()) {

logger.error("未能通过过滤器:p=" + p);

return false;
}
return true;
}



最后要注意的是对参数做匹配之前,先要做下decode处理:


String qurystr = req.getQueryString()==null?"": req.getQueryString();


if (!qurystr.equals("")) {
try {
qurystr = java.net.URLDecoder.decode(qurystr);
} catch (Exception e1) {
qurystr = httpReq.getRequestURI();
}
}
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值