SQL过滤,防SQL注入

已于 2023-09-12 12:01:35 修改
阅读量420 收藏 1
点赞数 1
分类专栏: # Java工具类 文章标签: sql 数据库 mybatis java
于 2023-09-12 12:01:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46884194/article/details/132828002
版权

在MyBatis 的映射配置文件中,动态传递参数有两种方式:
#{} 和 ${} 的区别

1)#{} 为参数占位符 ?,即sql 预编译,变量自动加上单引号 ‘’
2)${} 为字符串替换,即 sql 拼接, 变量不会加上单引号 ‘’

一般使用#{},但在使用Mybatis的语法写动态排序时,由于#{}会导致参数带上’',所以使用${},但是又怕sql注入的问题,将传入的参数,过滤后再拼接SQL,会更安全一些。

import org.apache.commons.lang.StringUtils;

/**
 * SQL过滤
 *
 */
public class SQLFilter {

    /**
     * SQL注入过滤
     * @param str  待验证的SQL字符串、参数
     */
    public static String sqlInject(String str){
        if(StringUtils.isBlank(str)){
            return null;
        }
        //去掉'|"|;|\字符
        str = StringUtils.replace(str, "'", "");
        str = StringUtils.replace(str, "\"", "");
        str = StringUtils.replace(str, ";", "");
        str = StringUtils.replace(str, "\\", "");

        //转换成小写
        str = str.toLowerCase();

        //非法字符
        String[] keywords = {"master", "truncate", "insert", "select", "delete", "update", "declare", "alter", "drop"};

        //判断是否包含非法字符
        for(String keyword : keywords){
            if(str.indexOf(keyword) != -1){
                throw new RRException("包含非法字符");
            }
        }

        return str;
    }
}
ugo_star
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C# MVC 过滤SQL注入
09-15
C# MVC 过滤SQL注入
java过滤sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!...外网可能会被攻击,简单的处理可以避免!...
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6451
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
SQL注入---字符绕过
最新发布
zhoutong2323的博客
04-10 821
当网页源代码中出现如下代码后,常见的注释符号将无效,因此需要通过特殊手段进行绕过 上述代码中无法使用符号(#)或(--+)将后面的sql语句注释,因此需要通过特殊手段将后面多出的单引号闭合演示案例: 二.and 和 or 过滤绕过 过滤源代码 绕过手法 三.空格过滤绕过 过滤代码: 绕过手法: 在不同的环境中能够绕过的URL编码有所不同,因此需要多次尝试。演示案例:未使用URL编码注入前:符号被过滤 使用URL注入编码后 报错注入:
SQL注入的四种方案
dehuisun的专栏
09-05 9428
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
sql注入漏洞
qz362228的博客
08-11 2473
sql注入漏洞原理,类型,御方式,绕过技巧
推荐几个Java项目SQL注入的方法
Javaの甘乃迪的博客
10-06 678
Java项目SQL注入的几种方案
sql注入问题后端字符过滤
weixin_39693899的博客
12-29 483
sql注入问题
[实践总结] Java SQL注入的四种方案
张紫娃的博客
08-28 1070
当 id 传值为 1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重。
C#SQL注入代码的三种方法
09-04
创建一个专门的类来处理过滤用户输入,识别并移除可能的SQL注入尝试。这种方法可以通过自定义规则来检查和清理输入,确保它们不会触发恶意的SQL执行。 ```csharp public class ProcessRequest { public ...
sql注入过滤字典.txt
10-15
sql注入过滤字典.txt
sql注入的url过滤
12-30
sql注入的url过滤器,这个平时用到过得、觉得不错、所以跟大家分享下、
SQL注入.rar
04-05
SQL注入是一种常见的网络安全威胁,它发生在应用程序未能充分验证或过滤用户输入的数据时,攻击者可以利用这种漏洞执行恶意的SQL语句,获取、修改、删除数据库中的敏感信息,甚至完全控制数据库服务器。针对这一问题...
SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
SQL注入一些过滤及绕过总结
2301_76786857的博客
12-27 910
过滤关键字应该是最常见的过滤了,因为只要把关键字一过滤,你的注入语句基本就不起作用了。(3)既然是过滤关键字,大小写应该都会被匹配过滤,所以大小写绕过一般是行不通的。常见的几种注入方法基本上都要使用逗号,要是逗号被过滤了,那就只能想办法绕过了。(2)对于盲注的那几个函数substr(),mid(),limit。(1)最常用的绕过方法就是用/**/,,分割关键字。(2)根据过滤程度,有时候还可以用双写绕过。(1)简单注入可以使用join方法绕过。(4)有时候还可以使用编码绕过。
SQL注入详解(主要针对MySQL)
Rockboy777的博客
08-09 463
权限不足时也受影响;join绕过,如:union select 1,2,3 -> union select from (select 1)a join (select 2) join (select 3)substr()和mid()使用from for,如substr(database() from 1 for 1)表示将字符串从1位置截取长度1,mid()同理。
sql注入过滤关键字(union select等等)
没事我溜达
03-15 8469
今天来学习一下注入中关键字被过滤了该如何解决 打开靶场,这是我本地搭建的一个靶场所以没有靶场地址 我们在输入框内输入一个1 查询一下结果。 尝试闭合和注释,发现单引号即可完成闭合,--+作为注释内容,通过order by查询列数 看到页面上方order的or被过滤,说明or即是关键词,我们双写or,变成 oorrder by 2 (一定要在or的中间双写or,不然两个都会被注释掉) 通过order by发现只有两列数据,那么开始联合注入 ...
WEB漏洞攻- SQL注入原理、判定方式、过滤及修复
易编橙 · 终身成长社群,相遇已是上上签!
07-25 2422
SQL注入漏洞产生的原理就是在开发人员针对代码编写开发web应用程序过程中,未对攻击者输入的可控参数的合法性进行有效的过滤和判断,从而造成攻击者利用可控的恶意参数带入数据库中执行,从而因造成了恶意的SQL语句对数据库执行的任意操作行为。
sql注入 过滤select
05-31
为了SQL 注入攻击,可以通过对输入的数据进行过滤和转义来保护数据库。其中,对于 SELECT 语句,可以考虑以下几个方面来进行过滤: 1. 使用参数化查询:这是最有效的SQL 注入攻击的方法之一。参数化查询可以将用户输入的数据作为参数传递给 SQL 语句,从而避免了 SQL 注入攻击。 2. 过滤特殊字符:对于 SELECT 语句,可以过滤掉一些特殊字符,例如单引号、双引号、分号等,以避免被用于 SQL 注入攻击。 3. 转义特殊字符:对于无法过滤的特殊字符,可以进行转义处理。例如,将单引号转义为两个单引号,将双引号转义为两个双引号,以及将反斜杠转义为两个反斜杠等。 综上所述,通过参数化查询和过滤、转义特殊字符的方法,可以有效地止 SELECT 语句被用于 SQL 注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值