java程序防止sql注入

最新推荐文章于 2024-02-15 10:30:00 发布
最新推荐文章于 2024-02-15 10:30:00 发布
阅读量126 收藏
点赞数
分类专栏: 菜鸟日志 文章标签: sql注入、hibernate、正则
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiji87432/article/details/84422148
版权

 

第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:

  1. String sql= "select* from users where username=?andpassword=?;
  2. PreparedStatement preState= conn.prepareStatement(sql);
  3. preState.setString(1, userName);
  4. preState.setString(2, password);
  5. ResultSet rs= preState.executeQuery();

第二种是采用正则表达式将包含有 单引号('),分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入

  1. public static String TransactSQLInjection(String str)
  2. {
  3.    return str.replaceAll(".*([';]+|(--)+).*","");
  4. }
  5. userName=TransactSQLInjection(userName);
  6. password=TransactSQLInjection(password);
  7. String sql="select * from users whereusername='"+userName+"' and password='"+password+"' "
  8. Statement sta= conn.createStatement();
  9. ResultSet rs= sta.executeQuery(sql);

注:

1。数据库访问用预定义会话PreparedStatement,从根本上防止SQL截断 

2。后台过滤,简单的验证数据格式/长度正确,至于过滤/转义各种特殊符号由第一步说的来处理;对于那些必须登录后才能操作的,首先验证session("username")==''or session("userpwd")=='')等条件直接禁止操作 

3。前台过滤,对于必要的input输入信息进行格式验证;尤其有对于用户名、密码之类的页面最好设置验证码(防止猜测的注入,减轻服务器压力)

 

我们一般是用java代码和前台js判断两个结合来防止sql注入java代码这块一般就是PreparedStatement函数,js就是判断页面的输入是否有关键字,然后后台代码部分加一个过滤器,判断每次提交时候的参数里是否有关键字。

 

下面顺便提一下 hibernate防止SQL注入攻击的方法

永远也不要写这样的代码:

     StringqueryString = "from Item i where i.descriptionlike '" + searchString + "'";
     Listresult = session.createQuery(queryString).list();

    如果用户输入:foo'and callSomeStoredProcedure() and 'bar' ='bar,则你的程序在执行一个简单查询后,还会调用某个存储过程,

这样你的程序就开了一个安全漏洞,如果用户偶尔输入了一个单引号,你的程序就可能报错。

 

永远也不要把未经检查的用户输入的值直接传给数据库!

幸运的是有一个简单的机制可以避免这种错误:

JDBC在绑定参数时有一个安全机制,它可以准确的将那些需要转义的字符进行转义(escape),

如上面的searchString,它被escape,不再作为一个控制字符了,而是作为被查询的匹配的字符串的一部分。(这里指的是preparedstatement,而是用普通的statment不行,我试过)。

另外,如果我们使用参数绑定,还可以提高数据库的执行效率,preparedstatement语句被编译一次后,被放在cache中,就不再需要编译,可以提高效率。

参数绑定有2种办法:使用positional parameter或者named parameter。

Hibernate支持JDBC样式的positional parameter(查询字符串中使用?),它同使用namedparameter的效果一样(查询字符串中使用:)。

使用named parameter

使用named parameter,我们重新写上面的查询语句:

String queryString = "from Item item where item.description like:searchString";

冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到searchString参数上:

    Listresult = session.createQuery(queryString)
                      .setString("searchString",searchString)
                      .list();

因为searchString是一个用户输入的字符串,所以我们使用Query的setString()方法进行参数绑定,这样代码更清晰,更安全,效率更好!

如果有多个参数需要被帮定,我们这样处理:

String queryString = "from Item item "
                           +"where item.description like :searchString "
                           +"and item.date > :minDate";
List result = session.createQuery(queryString)
                  .setString("searchString",searchString)
                   .setDate("minDate",minDate)
                  .list();

使用positional parameter

    如果你喜欢,也可以使用positionalparameter:

String queryString = "from Item item "
                           +"where item.description like ? "
                           +"and item.date > ?";
List result = session.createQuery(queryString)
                  .setString(0,searchString)
                  .setDate(1,minDate)
                  .list();

这段代码可读性强不如上面的强,而且可维护性差,如果我们的查询稍微改变一点,将第一个参数和第二个参数改变一下位置:

String queryString = "from Item item "
                            +"where item.date > ? "
                           +"and item.description like ?";

这样我们的代码中涉及到位置的地方都要修改,所以我们强烈建议使用namedparameter方式进行参数绑定。

最后,在named parameter中可能有一个参数出现多次的情况,应该怎么处理呢?

String userSearch = "from User u where u.username like:searchString"
                           +" or u.email like :searchString";
List result = session.createQuery(userSearch)
                  .setString("searchString",searchString)
                   .list();

不要使用

为了防止SQL注入,避免使用拼凑SQL语句的方式!!!

 

在Hibernate+Spring中getHibernateTemplate()返回的对象可以调用find(StringqueryString, Object value...Object value)来实现namedparameter。比如:

 

[java]  viewplaincopy
 
  1. Date startTime = new Date();  
  2. Date endTime = new Date();  
  3. String queryString = "from SdmsRacalertLog as log where" +  
  4. " log.alertTime between :startTime and :endTime";  
  5. return getHibernateTemplate().find(queryString, startTime, endTime);  

 

 

 

jiji87432
关注
专栏目录
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
java程序防止sql注入的方法
jun0052的专栏
01-25 1万+
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。 第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setStrin
Java防止SQL注入
wl_ldy的专栏
02-03 3549
1. 定义: 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 2. 防止SQL注入的方法: A:使用PreparedStatement代替Statement    1)使用PreparedStatement 比Statement的代码的可读性和可维护性更好.    2)PreparedStatem
java类过滤器,防止页面sql注入
sytylyl的专栏
10-16 1万+
package com.tarena.dingdang.filter; import java.io.IOException; import java.util.Enumeration; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import
java防止sql注入
weixin_34111819的博客
05-30 55
public final static String filterSQLInjection(String s) { if (s == null || "".equals(s)) { return ""; } try { s = s.trim().replaceAll("</?[s,S][c,C][r,R][i,I][p,P...
有效防止SQL注入的5种方法总结
09-09
SQL注入是一种严重的网络安全威胁,它利用开发者在编程时...通过上述方法,可以显著提高应用程序的防护能力,有效地防止SQL注入攻击。然而,安全是一个持续的过程,需要开发团队持续关注新的威胁,并及时更新防御策略。
Hibernate使用中防止SQL注入的几种方案
01-20
以下是Hibernate防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...
java持久层框架mybatis防止sql注入的方法
09-01
因此,了解并实施防止SQL注入的方法对于保障应用程序的安全至关重要。 MyBatis提供了多种机制来防止SQL注入,其中最常用且有效的一种是使用预编译的SQL语句,即PreparedStatement。在MyBatis中,我们通常使用`#{}`...
java-sql-inspector:用于测试Java代码是否存在SQL注入漏洞的实用程序
02-17
总的来说,Java SQL Inspector是开发过程中一个宝贵的辅助工具,能够帮助团队提高代码安全性,防止SQL注入攻击。结合良好的编程习惯和安全意识,开发者可以构建更健壮、更安全的应用程序,保障用户的数据安全。
Java防止SQL注入的几个途径
12-14
JavaSQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
JavaWeb防SQL注入的方法
08-13
SQL注入漏洞是Web应用经常出现的安全问题,本文提出了在JSP开发中如何防范SQL注入的方法,以及使用ORM框架Hibernate防范SQL注入的方法。
java中防sql注入_Java防止SQL注入
weixin_42461108的博客
02-27 146
Java防止SQL注入SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:比如在一个登陆界面,要求用户输入用户名和密码:用户名: ' or 1=1 --密 码:点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:String sql="select ...
java实战:防止SQL注入常用方法及代码示例
最新发布
oandy0的博客
02-15 2028
本文将介绍几种在Java防止SQL注入的常用方法,并提供详细的代码示例。我们将探讨使用预编译的SQL语句(Prepared Statements)、使用ORM框架、使用SQL模板引擎和参数化查询等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范SQL注入攻击。
Java防止SQL注入的方法
qiuyujia
05-04 203
javaSQL注入 ,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement 来代替Statement来 执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 , 大部分的SQL注入已经挡住了, 在WEB层我们...
JAVA程序防止SQL注入的方法
Jack Stomtion
01-18 338
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可: String sql= "select * from users where username=? and password=?; PreparedStatement preState = conn.prepareStatement(sql); preState.setString(1,...
java项目中如何防止sql注入
热门推荐
alan_liuyue的博客
03-07 2万+
简介 SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令; 实践 项目中如何防止sql注入呢,有以下三点: 前端表单进行参数格式控制; 后台进行参数格式化,过滤所有涉及sql的非法字符; //参考:https://freeman983.iteye.com/blog/1153989 //过滤 '...
java sql注入 正则_Java-java程序防止sql注入的方法
05-25
Java程序防止SQL注入的方法有以下几种: 1. PreparedStatement:使用PreparedStatement代替Statement,PreparedStatement使用占位符(?)来表示参数,这样可以有效防止SQL注入攻击。 2. 使用Java正则表达式对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值