java使用正则表达式过滤sql注入

最新推荐文章于 2024-07-25 00:00:00 发布
最新推荐文章于 2024-07-25 00:00:00 发布
阅读量3.1k 收藏 4
点赞数
分类专栏: 原创 java 文章标签: java 数据库
现有项目有大量的后台查询没有使用预处理,所以前台必须使用过滤器对参数做过滤以防止sql注入。 



原有方法,使用字符检索过滤:
private boolean isValid(String p) {

	p = p.toUpperCase();

	if (p.indexOf("DELETE") >= 0 || p.indexOf("ASCII") >= 0
		|| p.indexOf("UPDATE") >= 0 || p.indexOf("SELECT") >= 0
		|| p.indexOf("'") >= 0 || p.indexOf("SUBSTR(") >= 0
		|| p.indexOf("COUNT(") >= 0 || p.indexOf(" OR ") >= 0
		|| p.indexOf(" AND ") >= 0 || p.indexOf("DROP") >= 0
		|| p.indexOf("EXECUTE") >= 0 || p.indexOf("EXEC") >= 0
		|| p.indexOf("TRUNCATE") >= 0 || p.indexOf("INTO") >= 0
		|| p.indexOf("DECLARE") >= 0 || p.indexOf("MASTER") >= 0
		) {

	    logger.error("未能通过过滤器:p=" + p);

	    return false;
	}
	return true;
}



缺点,对于 UPDATEOK,BORD 这样的参数也会被过滤掉,对于/**/ 或者 /**ABC*/就很难做出判定了。 



使用正则表达式过滤:

//过滤 ‘
//ORACLE 注解 --  /**/
//关键字过滤 update ,delete 

static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"
			+ "(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";

static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);

/***************************************************************************
 * 参数校验
 * 
 * @param str
 */
public static void isValid(String str) {

	if (sqlPattern.matcher(str).find()) {

		logger.error("未能通过过滤器:p=" + p);

		return false;
	}
	return true;
}



最后要注意的是对参数做匹配之前,先要做下decode处理: 


String qurystr = req.getQueryString()==null?"": req.getQueryString();


if (!qurystr.equals("")) {
	    try {
		qurystr = java.net.URLDecoder.decode(qurystr);
	    } catch (Exception e1) {
		qurystr = httpReq.getRequestURI();
	    }
}
freeman983
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java sql注入正则表达式_Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法...
weixin_36074841的博客
02-24 602
我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和防范sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的防止办法。其实对于其他的,思路基本相似。下面我们先从web应用程序的角度来看一下如何避免sql注入:1、普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句中嵌入另一个Dro...
java 过滤非法字符_Java正则表达式过滤并消除非法字符
weixin_33102135的博客
02-16 2263
package sd;import java.util.regex.Matcher;import java.util.regex.Pattern;/**** @author 大汉**/public class P {public static void main(String[] args) {// 除了字母数字下划线之外的字符为非法字符Pattern pattern = Pattern.comp...
sql注入Java过滤
11-10
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
java过滤器,防止页面sql注入
sytylyl的专栏
10-16 1万+
package com.tarena.dingdang.filter; import java.io.IOException; import java.util.Enumeration; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import
SQL-REGEX-常见正则表达式使用
最新发布
喻师傅的学习笔记
07-25 1037
SQL中,正则表达式(Regex)的使用可以帮助进行更灵活和精确的模式匹配和数据筛选。不同的数据库管理系统对于正则表达式的支持略有差异,但大体都是相似的。
java开发Sql注入检测正则表达式
s380203593的博客
06-18 2236
sql拼装过程中有时候需要把特殊外部的参数拼装到sql语句中去,若不检测外部传入的参数是否含有sql关键词,黑客利用系统这个漏洞注入sql脚本语句进行数据库删除或盗取数据资料。 sql非法注入检测正则表达式 \b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|decl...
Java使用过滤器防止XSS脚本注入
踮脚敲代码
12-17 6619
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
java如何用正则表达式防止sql注入
05-25
Java中可以使用正则表达式来防止SQL注入攻击,具体方法如下: 1. 对用户输入的字符串进行过滤,只允许输入数字、字母和部分特殊字符,例如下面的正则表达式: ``` ^[a-zA-Z0-9_,./<>?;':"[]{}\|-]*$ ``` 该正则...
防止xss和sql注入:JS特殊字符过滤正则
10-27
本文将详细介绍如何通过JavaScript特殊字符过滤正则表达式来防范这两种攻击。 首先,理解XSS攻击。XSS攻击是通过在用户输入的数据中嵌入恶意脚本,当这些数据被网站处理并显示给其他用户时,恶意脚本得以执行,从而...
SQL注入过滤Java版)
11-17
为了防止这种情况发生,开发者需要在应用程序中实施有效的防御策略,其中一种方法就是使用过滤器(Filter)进行SQL注入过滤。本篇将详细探讨Java环境下如何实现一个SQL注入过滤器,并结合`web.xml`配置文件来部署...
java过滤器防sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
Java正则表达式构造SQL语句
03-10
Java正则表达式构造SQL语句Java正则表达式构造SQL语句Java正则表达式构造SQL语句
JAVA中防止SQL注入攻击类的源代码
04-26
JAVA中防止SQL注入攻击类的源代码(包含网页版和程序代码两部分)
PHP防止SQL注入与几种正则表达式讲解
weixin_33979363的博客
04-20 268
注入漏洞代码和分析 代码如下: &lt;?php function customerror($errno, $errstr, $errfile, $errline) {     echo &lt;b&gt;error number:&lt;/b&gt; [$errno],error on line $errline in $errfile&lt;br /&gt;;     di...
javaSQL注入正则
热门推荐
英俊的博客
04-06 1万+
/**正则表达式**/ private static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|" + "(\\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|
java sql注入 正则表达式_sql注入之 update/insert/delete篇
weixin_39772420的博客
02-24 1128
1.(简单又有效的方法)PreparedStatement采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。使用好处:(1).代码的可读性和可维护性.(2).PreparedStatement尽最大可能提高性能.(3).最重要的一点是极大地提高了安全性.原理:sql注入只对sql语句的准备(编译)过程有破坏作用而PreparedStatement已经准备好了,执...
java sql注入 正则_java使用正则表达式过滤sql注入
weixin_42503660的博客
02-19 2114
现有项目有大量的后台查询没有使用预处理,所以前台必须使用过滤器对参数做过滤以防止sql注入。原有方法,使用字符检索过滤:private boolean isValid(String p) {p = p.toUpperCase();if (p.indexOf("DELETE") >= 0 || p.indexOf("ASCII") >= 0|| p.indexOf("UPDATE") &...
jsp工程防止外部注入_防止 jsp被sql注入的五种方法
weixin_39626180的博客
01-27 233
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值