jsp中防止sql注入的一些基本预防措施

最新推荐文章于 2021-01-21 11:27:46 发布
最新推荐文章于 2021-01-21 11:27:46 发布
阅读量523 收藏 1
点赞数
分类专栏: Java 常遇问题 文章标签: sql jsp delete string 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jianhuisc/article/details/4790520
版权

 一、啥是sql注入

     所谓sql注入简单说就是被人钻了SQL的空子下面举个最简单的例子。

     sql 为:"select * from users where username='"+userName+"' and password='"+password+"' "

     1、攻击者只要在传入的userName加上'--上面的sql便将username='"+userName+"' 后面的条件全部注释掉。直接验证通过。

     2、甚至攻击者只要传入 ' or 1=1 --  道理也是一样的。

     3、sql注入原理推荐个文章,里面有介绍。http://www.nosec.org/2009/0918/59.html

 

二、解决方法: 过滤掉用户输入中的危险字符

    1、第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
    String sql= "select * from users where username=? and password=?;
    PreparedStatement preState = conn.prepareStatement(sql);
    preState.setString(1, userName);
    preState.setString(2, password);
    ResultSet rs = preState.executeQuery();    

   2、将传入的字符串做过滤.replaceAll(".*([';]+|(--)+).*", " ");

   3、js验证:通过js过滤掉客户端提交上来的字符(现在绕过js验证的方法太多不建议采用)

  function IsValidoField ){ 
    re= /select|update|delete|exec|count|'|"|=|;|>|<|%/i; 
    $sMsg = "请您不要在参数中输入特殊字符和SQL关键字!" 
    if ( re.test(oField.value) ) 
    { 
    alert( $sMsg ); 
    oField.value = '';
    oField.focus(); 
    return false
  } 

说明:以上文章大部分来参考网络资料。整理后方便自己的查阅和学习。

jianhuisc
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jsp 防止sql注入jsp 防止sql注入
07-19
jsp 防止sql注入jsp 防止sql注入jsp 防止sql注入jsp 防止sql注入
Java面试题解析之判断以及防止SQL注入
08-28
Java防止SQL注入是目前软件开发非常重要的一个安全问题,SQL注入攻击是目前黑客最常用的攻击手段,它的原理是利用数据库对特殊标识符的解析强行从页面向后台传入,改变SQL语句结构,达到扩展权限、创建高等级用户...
超强JSPSQL注入攻击
cnbird's blog
04-16 5618
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可: String sql= "select * from users where username=? and password=?; PreparedStatement preState = conn.prepareStatement(sql); preState.setString(1, us
jsp防止sql语句注入
El_Nino的专栏
09-16 2018
要引入一个包:import java.util.regex.*;正则表达式:private String CHECKSQL = "^(.+)//sand//s(.+)|(.+)//sor(.+)//s$"; 判断是否匹配:Pattern.matches(CHECKSQL,targerStr);
JSP过滤器防止SQL注入
Ac Dream
02-13 4272
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏 忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 filter功能.它使用户可以改变一个 request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够 在一个request到达servlet之前预处理request
JSP使用过滤器防止SQL注入
weixin_30776545的博客
05-29 123
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行S...
SQL注入攻击与防护措施研究
12-24
为了防止SQL注入攻击,开发人员应当采取一系列有效的安全措施: 1. **参数化查询**:使用预编译的语句或参数化查询可以有效防止SQL注入。这种方式确保了用户输入的数据被视为纯文本,而不是SQL命令的一部分。 ...
寻找sql注入的网站的方法(必看)
09-09
以下是一些防止SQL注入的策略: 1. **参数化查询(预编译语句)**:使用预编译的SQL语句,将用户输入的数据与执行代码分开,如PHP的PDO或MySQLi的预处理语句。 2. **输入验证**:对用户提交的数据进行严格的类型和...
SQL 注入式攻击的本质
09-11
5. **使用存储过程**:虽然存储过程本身并不能完全防止SQL注入,但它们可以增加攻击者构造有效注入的难度。 6. **限制错误信息**:避免在用户界面显示详细的错误信息,以防攻击者获取敏感的数据库信息。 7. **...
JSP网页防止sql注入攻击
http://kingim.cn/
03-28 2446
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 prepareStatement方法是防止sql注入的简单有效手段  preparedStatement和statement的区别 1、preparedStatement
jsp 防止sql注入的方法
01-13
网站开发最重要的就是安全问题,本资源是本人应用总结出来的防止sql注入的方法
jsp如何防范sql注入攻击
菜菜鸟_黑马的专栏
09-26 600
上周给别人做了个网站,无意间发现自己的作品有很多漏洞,在短短的20秒就被自己用sql注入法给干了。所以查了一点关于sql注入的资料,并且有点感悟,希望能与新手们分享一下。高手们见笑了!    sql注入攻击的总体思路: 发现sql注入位置; 判断服务器类型和后台数据库类型; 确定可执行情况 对于有些攻击者而言,一般会采取sql注入法。下面我也谈一下自己关于sql注入法的感悟。  注
JSP如何防范SQL注入攻击
飞雨飞羽飞鱼
08-12 1191
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <div id="content" class= "content mod-cs-content text-content clearfix"> SQL注入攻击的
JSP网站如何防范SQL注入攻击
langkeziju的专栏
07-19 1373
转载于:http://jingyan.baidu.com/article/5225f26b187d62e6fa0908f3.html SQL注入是目前很流行的一种攻击方式,可以达到多方面的破坏,对于JSP网站,如果疏忽,一样存在该问题: (1) 获取网站管理员密码,然后进行登陆后台破坏的目的; (2) 也可以获取整个数据库的数据,造成数据泄漏; (3) 也可以删除修改数据库数据,
mysql jsp sql注入_JSP使用过滤器防止SQL注入
weixin_33982972的博客
01-21 97
区别:(1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by "id"。(2)$将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是id,则解析成的sql为order by id。(3)#方式在很大程度上能够防止sql注入。(4)$方式无法防止sq...
jspsql注入及防范
fanzhenhua的专栏
11-05 1235
SQL注入攻击的总体思路:     发现SQL注入位置;     判断服务器类型和后台数据库类型;     确定可执行情况 对于有些攻击者而言,一般会采取sql注入法。下面我也谈一下自己关于sql注入法的感悟。注入法:从理论上说,认证网页会有型如:select * from admin where username=XXX and password=YYY 的语句,若在正式运行此句之
jsp的防sql注入通用程序
ZXL工作室
12-13 1302
public static boolean sql_inj(String str) { String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,"; String inj_stra[] = split(inj_str,"
SQL注入攻击详解:原理、危害与防御策略
SQL注入是一种严重的网络安全威胁,它发生在应用程序未能充分验证用户输入的情况下,允许攻击者在数据库查询插入恶意SQL代码。本课程深入讲解了SQL注入的相关概念、攻击手段、防御策略以及针对不同Web开发平台(如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值