防止SQL注入-字符串过滤法
例如
SELECT * FROM user_table WHERE username=
‘’ or 1 = 1 – —and password=’’
危害
通过SQL语句,实现无帐号登录,甚至篡改数据库。
方案一:通常预编译处理。setParem
sql注入只对sql语句的准备(编译)过程有破坏作用
而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,
而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.
方案二:字符串过滤
js处理
public static boolean sql_inj(String str){
String inj_str = "'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
String inj_stra[] = split(inj_str,"|");
for (int i=0 ; i < inj_stra.length ; i++ ){
if (str.indexOf(inj_stra[i])>=0){
return true;
}
}
return false;
}
java处理
public static boolean sql_inj(String str){
String inj_str = "and,exec,insert,select,delete,update,
count,*,%,chr,mid,master,truncate,char,declare,;,or,-,+,";
String inj_stra[] = inj_str.split(",");
for (int i=0 ; i < inj_stra.length ; i++ ){
if (str.indexOf(inj_stra[i])>=0){
return true;
}
}
return false;
}
获取参数后对参数过滤处理,防止sql注入;
参考
https://www.cnblogs.com/pressur/p/11226392.html