拼接字符串时,防止sql注入,工具类,转载。

最新推荐文章于 2024-05-11 08:52:01 发布
最新推荐文章于 2024-05-11 08:52:01 发布
阅读量1k 收藏 2
点赞数
分类专栏: sql问题
原文链接:https://www.iteye.com/blog/happyqing-2229666
版权

import javax.servlet.http.HttpServletRequest;

/**

  • 防SQL注入工具类

  • 把SQL关键字替换为空字符串

  • @author zhao

  • @since 2015.7.23
    */
    public class AntiSqlInjection {

    public final static String regex = “’|%|–|and|or|not|use|insert|delete|update|select|count|group|union” +
    “|create|drop|truncate|alter|grant|execute|exec|xp_cmdshell|call|declare|source|sql”;

    /**

    • 把SQL关键字替换为空字符串
    • @param param
    • @return
      */
      public static String filter(String param){
      if(param == null){
      return param;
      }
      return param.replaceAll("(?i)"+regex, “”); //(?i)不区分大小写替换
      }

    /**

    • 返回经过防注入处理的字符串
    • @param request
    • @param name
    • @return
      */
      public static String getParameter(HttpServletRequest request, String name){
      return AntiSqlInjection.filter(request.getParameter(name));
      }

    public static void main(String[] args) {
    //System.out.println(StringEscapeUtils.escapeSql(“1’ or ‘1’ = '1; drop table test”)); //1’’ or ‘‘1’’ = ''1; drop table test
    String str = "sElect * from test where id = 1 And name != ‘sql’ ";
    String outStr = “”;
    for(int i=0; i<1000; i++){
    outStr = AntiSqlInjection.filter(str);
    }
    System.out.println(outStr);
    }
    }

morality_hj
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何有效的防止SQL连接字符串注入
hwy00的专栏
11-06 1212
 概念:在编写安全代码,最重要的规则之一就是“绝对不要盲目的相信用户的输入”。利用ADO.NET 2.0的SqlConnectionStringBuilder类生成数据库连接字符串,它可以有效的防止“SQL连接字符串恶意注入”,因为这个类是专门为SQL SERVER设计的所以;它兼容旧式关键字。关于如何使用SqlConnectionStringBuilder类,请参考我以前写的一篇“智能数据
动态拼接sql语句工具类,拼接where后面语句
05-25
动态拼接sql语句工具类,拼接where后面语句 配合原生jdbc仿动态sql注入 if (ObjectUtil.isNotEmpty(maxLat)&&ObjectUtil.isNotEmpty(minLat)){ sqlParamList.add(new SqlParam("lat",minLat, SqlOpEnum.GE)); ...
WEB安全(十四)如何防止SQL注入
jinyangjie的博客
02-17 2342
一、什么是SQL注入 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。 例如在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,这类表单特别容易受到SQL注入式攻击。 还有mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个候需要防止sql注入。 二、SQL注入的例子 登录页面,输入账号密码验证登录,后台SQL简化(为演示方便,去掉密码的加密过程): SELECT * FROM
2024年最全黑客sql注入的原理及解决sql注入问题及优点,2024年最新写给互联网大厂员工的真心话
最新发布
2401_84253037的博客
05-11 390
还有兄弟不知道网络安全面试可以提前刷题吗?费一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
查询字符串防止SQL注入
weixin_30802171的博客
06-20 628
写SQL语句,为了防止SQL注入, 通常做如下处理 strSearch.ToLower.Replace("--", " ").Replace(" -", " ") 转载于:https://www.cnblogs.com/wphl-27/p/9203221.html
c# 正则格式化文本防止SQL注入
weixin_30394669的博客
10-01 383
/// <summary> /// 格式化文本(防止SQL注入) /// </summary> /// <param name="str"></param> /// <returns></returns> public s...
尽量不要拼凑Sql语句,用参数来注入
zmdds的专栏
11-26 705
    如果是类似"select   *   from   user   where   uid="+uid +"  and   pwd="+pwd 很容易出问题    使用   SQLParamenter          把你的SQL语句写成   类似存储过程             select   *   from   user   where   uid=@uid   and   p
超级SQL注入工具超级SQL注入工具
12-04
SQL注入是一种常见的网络安全威胁,它利用了Web应用程序未能正确过滤或...理解并应用这些概念有助于保护Web应用程序免受SQL注入攻击,同合理使用"超级SQL注入工具"这类工具,可以提升系统安全性评估的效率和深度。
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库...Spring Boot通过提供JdbcTemplate和Spring Data JPA等工具,为开发者提供了防止SQL注入的有效手段。
sql注入工具
11-27
在这个场景中提到的"sql注入工具",比如`domian`,可能是一个用于检测、利用或SQL注入的工具。 SQL注入攻击通常分为几种类型: 1. **错误注入**:通过构造错误的SQL语句来获取服务器返回的错误信息,从而推断...
SqlUtils工具类,Sql IN 条件拼接工具类
05-04
这与JDBC的PreparedStatement相配合,可以防止SQL注入攻击,并且提高了执行效率。 在实际使用中,`SqlUtils`可能还包含了其他辅助方法,比如处理`NOT IN`条件、动态构建`WHERE`子句等。这些方法通常会结合使用`...
sql的封装,不需要使用StringBuffer进行字符串拼接
04-15
sql的封装,不需要使用StringBuffer进行字符串拼接 直接使用对象封装
防止sql注入工具类l
03-22
NULL 博文链接:https://kaka100.iteye.com/blog/1004594
超级sql注入工具
11-02
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 超级SQL注入工具目前支持Bool型盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库
不再拼接SQL字符串了,因为知道了SQL注入这回事
weixin_33824363的博客
05-03 464
2019独角兽企业重金招聘Python工程师标准>>> ...
防止SQL注入的四种方案
dehuisun的专栏
09-05 9469
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此,数据库的数据都会被清空掉,后果非常严重.
SQL注入是什么?如何避免SQL注入
weixin_44231266的博客
11-04 240
SQL注入是什么?如何避免SQL注入
sql server 字符串拼接_Python操作db2数据库如何防止SQL注入
weixin_39763033的博客
12-06 223
QL注入就是攻击者在前端的表单输入中,或者 API 的传参,按照 SQL 的语法,人为地加入一段代码,改变原有的SQL 逻辑,来跳过验证,篡改或者删除数据库,达到攻击者的目的的过程。SQL注入攻击会造成非常严重的后果,举个例子:select user_id,user_name from user_info where user_name = '$a' and passwd = '$pwd'一般情...
JAVA安全编码手册.pdf
06-09
java安全编码手册

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值