Java防SQL注入工具类

最新推荐文章于 2024-05-15 09:16:44 发布
最新推荐文章于 2024-05-15 09:16:44 发布
阅读量627 收藏 1
点赞数
分类专栏: java sql 文章标签: java sql 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haveqing/article/details/84734126
版权
java 同时被 2 个专栏收录
68 篇文章 0 订阅
订阅专栏
sql
1 篇文章 0 订阅
订阅专栏

 

import javax.servlet.http.HttpServletRequest;

/**
 * 防SQL注入工具类
 * 把SQL关键字替换为空字符串
 * @author zhao
 * @since 2015.7.23
 */
public class AntiSqlInjection {
	
	public final static String regex = "'|%|--|and|or|not|use|insert|delete|update|select|count|group|union" +
						"|create|drop|truncate|alter|grant|execute|exec|xp_cmdshell|call|declare|source|sql";

	/**
	 * 把SQL关键字替换为空字符串
	 * @param param
	 * @return
	 */
	public static String filter(String param){
		if(param == null){
			return param;
		}
		return param.replaceAll("(?i)"+regex, "");	//(?i)不区分大小写替换
	}
	
	/**
	 * 返回经过防注入处理的字符串
	 * @param request
	 * @param name
	 * @return
	 */
	public static String getParameter(HttpServletRequest request, String name){
		return AntiSqlInjection.filter(request.getParameter(name));
	}
	
	public static void main(String[] args) {
		//System.out.println(StringEscapeUtils.escapeSql("1' or '1' = '1; drop table test")); //1'' or ''1'' = ''1; drop table test
		String str = "sElect * from test where id = 1 And name != 'sql' ";
		String outStr = "";
		for(int i=0; i<1000; i++){
			outStr = AntiSqlInjection.filter(str);
		}
		System.out.println(outStr);
	}
}

 

参考:

java类过滤器,防止页面SQL注入

http://www.oschina.net/code/snippet_811941_14131

Java防止SQL注入的几个途径

http://helloklzs.iteye.com/blog/1329578

 

躁动的青年
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java代码审计篇:SQL注入
hackzkaq的博客
12-01 1275
前期与常规注入代码审计一样,找sql语句看是否存在字符串拼接,如果存在,通过查找参数的调用逻辑,理清逻辑,在构造payload时,先注册一个正常的用户名,但是用户名是带有sql语句的,比如 “ ‘union select user(),2.3# “,此时在登陆的时候就可以显示对应的信息。MyBatis 的 like 子句中使用#{}程序会报错,所以为了避免报错,在开发的时候使用${},当使用like ‘#%{name}%’时,会报错。而使用like ‘$%{name}%’,时会正常执行。
JAVA- SQL注入案例(黑马程序员)和避免 超级详细
meini32的博客
08-01 2408
SQL 注入SQL Injection)是一种常见的网络攻击技术,它利用应用程序没有正确过滤用户输入的数据,将恶意的 SQL 代码注入到应用程序中执行,从而导致应用程序的安全性受到威胁。通过一段字符串(伪造的sql代码)与真的代码进行拼接使整个 SQL语句的条件判断永远为真,从而绕过了应用程序的身份验证机制,获取了用户的数据。应用程序需要对用户输入的数据进行正确的验证和过滤!-概括:拼字符串导致分不清参数和执行的关键字!PreparedStatement接口。输入正确的用户名和密码=登录成功。
JAVA代码审计篇-SQL注入
m0_60571990的博客
03-10 1352
JAVA代码审计篇-SQL注入
Java项目SQL注入的四种方案
最新发布
Wewe的博客
05-15 367
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列。
Java代码审计之SQL注入
tpaer的博客
12-05 2355
复现了Java中JDBC及Mybatis框架采用预编译和非预编译时可能存在SQL注入的几种情况,并给予修复建议。
Java项目SQL注入的方式总结
睡竹的博客
03-02 9553
Java项目SQL注入的方式总结 springboot配置请求过滤器SQL注入 nginxSQL注入 mybatisSQL注入
Java中的SQL注入简易分析
鸣蜩十四的博客
08-04 3338
Java中的JDBC与Mybatis中的SQL注入简易分析
java过滤器sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!...外网可能会被攻击,简单的处理可以避免!...
Java校验参数工具类
06-02
这是自己开发的一个参数校验的工具类,可用于对实例的属性进行非空校验。包括全部校验和任一校验两种校验方式。 举例:CheckParamsUtils.checkParamsAll(requestBean, "name", "age","gender");
自己动手编写SQL注入漏洞扫描工具
12-31
标题中的“自己动手编写SQL注入漏洞扫描工具”指的是创建一个能够自动检测Web应用程序是否存在SQL注入漏洞的软件。SQL注入是一种常见的网络安全威胁,攻击者通过在输入字段中插入恶意的SQL语句来操纵数据库,获取...
动态拼接sql语句工具类,拼接where后面语句
05-25
动态拼接sql语句工具类,拼接where后面语句 配合原生jdbc仿动态sql注入 if (ObjectUtil.isNotEmpty(maxLat)&&ObjectUtil.isNotEmpty(minLat)){ sqlParamList.add(new SqlParam("lat",minLat, SqlOpEnum.GE)); ...
SQL注入原理以及Spring Boot如何SQL注入(含详细示例代码)
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库...Spring Boot通过提供JdbcTemplate和Spring Data JPA等工具,为开发者提供了SQL注入的有效手段。
javaSQL注入
zwjzone的博客
03-10 1183
springboot使用$符号传参,sql注入
java】JDBC中的SQL注入问题和解决方案
DreamSun的博客
03-16 871
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。可以sql注入由于使用了预编译机制,执行的效率要高于Statementsql语句使用?形式替代参数,然后再用方法设置?的值,比起拼接字符串,代码更加优雅.语法不同:PreparedStatement可以使用预编译的sql,而Statment只能使用静态的sql
java解决sql注入完整的工具类
sunrj_niu的博客
08-06 2281
【代码】java解决sql注入完整的工具类
JAVA代码审计之SQL注入,基于Spring boot和jdbc以及mybatis
GXcodes的博客
08-02 2791
本节讲述JavaWeb代码审计中存在SQL注入漏洞的情况。基于spring boot,mysql,两种连接方式:jdbc和mybatis。代码比较多,适合自己创建项目,跟着走一遍,如果只想了解原理,可以忽略代码,只看大概即可。比如Controller类或者sql语句的编写。SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互中,前端数据通过后台在对数据库进行操作时,由于没有做好安全护,导致攻击者将恶意代码拼接到请求参数中,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。
SQL注入
AgonyAngela的博客
03-30 2045
SQL注入
SQL注入
weixin_44693449的博客
10-28 416
SQL 止SQL注入的五种方法 一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面...
如何Java中的SQL注入
xsharkrasp的博客
05-26 251
SQL注入(也称为SQLi)是指攻击者成功篡改Web应用输入,并在该应用上执行任意SQL查询。此种攻击通常会利用编程语言用来括住字符串的转义字符。攻击者想方设法用表单字段或URL参数向应用注入额外的SQL代码进而获得在目标数据库上执行未经授权的操作的能力。图1:SQL注入原理SQL注入是Web应用最常遭受攻击类型之一;此外,还有许多安全威胁是Java开发人员应该注意的,包括:恶意JarXSS注入Java LDAP注入XPath注入SecurityManager漏洞1、识别第三方漏洞。
sql注入工具类
09-11
SQL注入是开发Web应用程序时的一个重要安全措施。下面是一个简单的示例工具类,用于SQL注入攻击: ```java import java.sql.PreparedStatement; import java.sql.SQLException; public class SQLInjectionProtection { public static PreparedStatement prepareStatement(String query, Object... params) throws SQLException { // 创建PreparedStatement对象 PreparedStatement statement = connection.prepareStatement(query); // 为参数设置值 for (int i = 0; i < params.length; i++) { if (params[i] instanceof String) { // 对String类型的参数进行过滤 statement.setString(i + 1, sanitizeString((String) params[i])); } else { // 其他类型的参数直接设置值 statement.setObject(i + 1, params[i]); } } return statement; } private static String sanitizeString(String input) { // 对输入字符串进行过滤,替换特殊字符 String sanitized = input.replaceAll("['\"\\\\]", ""); return sanitized; } } ``` 这个工具类的核心方法是prepareStatement(),它接受一个SQL查询和参数,并返回一个已经处理好的PreparedStatement对象。在设置参数值时,对于String类型的参数,会调用sanitizeString()方法对其进行过滤,去除可能导致注入的特殊字符。 虽然这个工具类提供了一定的护,但并不能保证完全SQL注入攻击。因此,还需要在开发过程中注意其他具体的护措施,例如使用参数化查询、严格控制用户输入等。此外,及时更新数据库驱动程序和数据库软件也是保持安全的好方法。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值