防止sql注入式攻击

最新推荐文章于 2023-08-06 14:27:27 发布
最新推荐文章于 2023-08-06 14:27:27 发布
阅读量695 收藏
点赞数
文章标签: sql string 数据库 user jdbc sql server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxn_001/article/details/2553113
版权

SQL 注入(SQL Injection)是最常见的数据库攻击方式,和其它开发环境一样, Java 也提供了防止 SQL 注入攻击的方法。由于 JDBC 都是基于接口的设计,所以对于不同的数据库,代码基本一样,下面给出一个查询范例:

 ...

Connection conn = DriverManager.getConnection(url, user, password);

String query = "select * from table_user where user_name=?";

PreparedStatement preState = conn.prepareStatement(query);

preState.setString(1, "aaa");

ResultSet rs = preState.executeQuery();

...

 在上面的这一段代码中,我们查询了表 table_user 中字段 user_name 为 "aaa" 的数据,由于采用了参数化查询的方式, JDBC 底层已经防止了 SQL 注入攻击。在 Java 中,对于所有的数据库,参数化查询的方式都和上面类似,区别在于数据库连接字符串。

连接 MySql 数据库,代码如下:

 Class.forName("com.mysql.jdbc.Driver");

String url = "jdbc:mysql://127.0.0.1/myDatabase";

String user = "user";

String password = "password";

Connection conn = DriverManager.getConnection(url, user, password);

 连接 oracle 数据库,代码如下:

 Class.forName("oracle.jdbc.driver.OracleDriver");

String url = "jdbc:oracle:thin:@127.0.0.1:1521:myOracleSID";

String user = "user";

String password = "password";

Connection conn = DriverManager.getConnection(url, user, password);

连接 MS SQL Server 数据库,代码如下:

 Class.forName("com.microsoft.jdbc.sqlserver.SQLServerDriver");

String url = "jdbc:microsoft:sqlserver://127.0.0.1:1433;

DatabaseName=myDbName";

String user = "user";

String password = "password";

Connection conn = DriverManager.getConnection(url, user, password);

 在上面的代码中,我们分别连接了 MySql, oracle, MS SQL Server 三种主流数据库。可以看到,在 JDBC 中,对于不同数据库的连接和查询功能的代码基本上相同,对于开发人员非常的友好。

lxn_001
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求中的参数中含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
Java防SQL注入工具类
05-15 627
import javax.servlet.http.HttpServletRequest; /** * 防SQL注入工具类 * 把SQL关键字替换为空字符串 * @author zhao * @since 2015.7.23 */ public class AntiSqlInjection { public final static String r...
java sql 工具类_Java防SQL注入工具类
weixin_42471237的博客
02-16 1703
import javax.servlet.http.HttpServletRequest;/*** 防SQL注入工具类* 把SQL关键字替换为空字符串* @author zhao* @since 2015.7.23*/public class AntiSqlInjection {public final static String regex = "'|%|--|and|or|not|use|in...
java sql 工具类_Java 防止 SQL 注入工具类
weixin_30407555的博客
02-16 455
package cn.manmanda.api.util;import javax.servlet.http.HttpServletRequest;/*** 防止SQL注入工具类* @author* @date 2017/12/29 15:39*/public class AntiSQLInjectionUtil {//public final static String regex = "#|/...
Java审计之SQL注入
qq_36594628的博客
08-06 640
Java审计之SQL注入 一、什么是SQL注入 定义 ​ SQL是操作数据库数据的结构化查询语言,web应用程序的应用数据与后台数据库中的数据产生交互时会采用SQL。而SQL注入SQL Injection)是当开发未对web应用程序用户可控输入的参数、web表单、cookie等(即注入点)进行规范性校验、过滤和数据清洗,将用户输入的参数以拼接的方带入了SQL语句中,造成了SQL注入的产生。攻击者通过构造特殊的payload,后端程序以拼接的方将payload带入SQL语句中,数据库执行拼接的SQL
防止SQL注入攻击
08-11
以下是一些关于防止SQL注入攻击的重要知识点: 1. **理解SQL注入**:SQL注入是当用户输入未经验证或过滤的直接插入到SQL查询中时发生的现象。例如,如果一个网站的登录表单不检查用户输入,恶意用户可以输入" OR ...
SQLInner防止SQL注入攻击源码
04-10
SQL注入是一种常见的网络安全威胁,它利用了不安全的SQL语句设计来操纵数据库。...通过深入研究SQLInner的源代码,开发者可以更好地理解和实施这些安全策略,提高应用程序的防护能力,防止SQL注入攻击
SQLInner.zip 防止 SQL 注入式攻击
06-30
SQL 注入式攻击是指利用软件设计上的漏洞,在目标服务器上运行 SQL 命令以进行其他方攻击,动态生成 SQL 命令时没有对用户输入的数据进行验证,本实例为了使程序更加安全,使用 C#实现防止 SQL 注入式攻击功能。...
防止SQL注入攻击视频教程
最新发布
04-10
C#联合数据库编写的防止SQL注入攻击视频教程。
六个建议防止SQL注入攻击.pdf
04-06
### 六个建议防止SQL注入攻击 #### SQL注入攻击简述及原理 SQL注入攻击是一种常见的网络安全威胁,尤其在Web应用中极为普遍。这种攻击利用了程序未能妥善处理用户输入这一弱点,允许攻击者向应用程序发送恶意SQL...
java过滤器防sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
防止sql注入工具类l
03-22
NULL 博文链接:https://kaka100.iteye.com/blog/1004594
JAVA中防止SQL注入攻击类的源代码
04-26
JAVA中防止SQL注入攻击类的源代码(包含网页版和程序代码两部分)
Java防止SQL注入的几个途径
12-14
Java防SQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
​代码审计(Java)——WebGoat_SqlInjection​
weixin_45260839的博客
08-20 238
代码审计(Java)——WebGoat_SqlInjection ​
Java高风险弱点与修复之——SQL injection(SQL注入)
oscar999的专栏
05-26 1284
SQL 注入(SQL injection)是一种常见的安全漏洞,指的是通过在应用程序的输入中注入恶意的 SQL 代码,从而能够执行未经授权的数据库查询。攻击者可以利用这个漏洞来读取、修改或删除数据库中的数据,或者通过应用程序的身份验证机制获得未经授权的访问权限。
java sql注入_java程序中sql注入分析及优化方案
weixin_35757732的博客
02-12 924
先来看看百度百科的解释:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密...
java解决sql注入完整的工具类
sunrj_niu的博客
08-06 2281
【代码】java解决sql注入完整的工具类。
java sql语句防注入_在 Java 中防止 SQL 注入攻击SQL Injection)的方法
weixin_30529479的博客
03-04 609
SQL 注入(SQL Injection)是最常见的数据库攻击,和其它开发环境一样, Java 也提供了防止 SQL 注入攻击的方法。由于 JDBC 都是基于接口的设计,所以对于不同的数据库,代码基本一样,下面给出一个查询范例: ... Connection conn = DriverManager.getConnection(url, user, password); String q...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值