Java防止SQL注入

最新推荐文章于 2021-02-27 07:49:27 发布
最新推荐文章于 2021-02-27 07:49:27 发布
阅读量483 收藏
点赞数
分类专栏: sql
1. 定义:

所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。


2. 防止SQL注入的方法:

A:使用PreparedStatement代替Statement

   1)使用PreparedStatement 比Statement的代码的可读性和可维护性更好.
   2)PreparedStatement尽最大可能提高性能.
   3)最重要的一点是PreparedStatement极大地提高系统的安全性.

[html] view plain copy print ?
  1. sql="select * from admin where username=? and password=?"
  2. PreparedStatement psmt= con.prepareStatement(sql); 
  3. psmt.setString(1,username); 
  4. psmt.setString(2,password); 
  5. ResultSet rs = psmt.executeQuery(); 
  6. if(rs.next){ 
  7. rs.close(); 
  8. con.close(); 
  9. return false; 
  11. else{ 
  12. rs.close(); 
  13. con.close(); 
  14. return true;  
 sql="select * from admin where username=? and password=?";
 PreparedStatement psmt= con.prepareStatement(sql);
 psmt.setString(1,username);
 psmt.setString(2,password);
 ResultSet rs = psmt.executeQuery();
 if(rs.next){
 rs.close();
 con.close();
 return false;
 }
 else{
 rs.close();
 con.close();
 return true;
 }

B: 使用字符串过滤

[html] view plain copy print ?
  1. public static String filterContent(String content){ 
  2.    String flt ="'|and|exec|insert|select|delete|update|count|*|%                    
  3.  
  4. |chr|mid|master|truncate|char|declare|;|or|-|+|,"; 
  5.    Stringfilter[] = flt.split("|"); 
  6. for(int i=0;i<filter.length ; i++) 
  7.     { 
  8.       content.replace(filter[i], ""); 
  9.     } 
  10.      return content; 
  11.   }  
public static String filterContent(String content){
   String flt ="'|and|exec|insert|select|delete|update|count|*|%                   

|chr|mid|master|truncate|char|declare|;|or|-|+|,";
   Stringfilter[] = flt.split("|");
 for(int i=0;i<filter.length ; i++)
    {
      content.replace(filter[i], "");
    }
     return content;
  }
或者使用Filter来过滤全局的表单参数。

qq386587793
关注
专栏目录
防止sql注入
jingYang07的博客
04-23 872
import org.owasp.esapi.ESAPI; import org.owasp.esapi.Encoder; import org.owasp.esapi.codecs.Codec; import org.owasp.esapi.codecs.MySQLCodec; import org.owasp.esapi.errors.EncodingException; import or...
JAVA JDBC 防止SQL注入
福州大数据 hadoop学习
04-23 239
package org.jeecg.modules.common.util; import com.alibaba.fastjson.JSONObject; import java.sql.*; public class DbUtil { //定义mysql加载驱动,老版本的mysqljar包用的驱动参数时“com.mysql.jdbc.Driver”,新版的如下所示 private static final String driver = "com.mysql.jdbc.Driv.
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
java中防sql注入_Java防止SQL注入
weixin_42461108的博客
02-27 132
Java防止SQL注入SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:比如在一个登陆界面,要求用户输入用户名和密码:用户名: ' or 1=1 --密 码:点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:String sql="select ...
java防止sql注入
weixin_34111819的博客
05-30 47
public final static String filterSQLInjection(String s) { if (s == null || "".equals(s)) { return ""; } try { s = s.trim().replaceAll("&lt;/?[s,S][c,C][r,R][i,I][p,P...
Java防止SQL注入的几个途径
12-14
Java 防止 SQL 注入的几个途径 Java 防止 SQL 注入是一个非常重要的安全问题。SQL 注入攻击是黑客最常用的攻击方式之一,它可以让攻击者访问或修改数据库中的敏感信息。因此,防止 SQL 注入是 Java 开发者必须注意...
java防止sql注入.pdf
12-09
Java编程中,防止SQL注入是一项至关重要的安全措施。SQL注入是黑客利用应用程序不恰当处理用户输入的SQL语句,从而执行恶意SQL命令的一种攻击方式。这种攻击可能导致数据泄露、数据库破坏甚至整个系统的瘫痪。以下...
Java面试题解析之判断以及防止SQL注入
08-28
Java防止SQL注入是目前软件开发中非常重要的一个安全问题,SQL注入攻击是目前黑客最常用的攻击手段,它的原理是利用数据库对特殊标识符的解析强行从页面向后台传入,改变SQL语句结构,达到扩展权限、创建高等级用户...
java 过滤器filter防sql注入的实现代码
09-01
本文将详细介绍如何使用Java Filter实现防止SQL注入的功能。 首先,我们需要创建一个实现了`javax.servlet.Filter`接口的类,例如名为`XSSFilter`。这个类将负责拦截请求并处理可能存在的SQL注入风险。下面是一个...
java程序防止sql注入的方法
jun0052的专栏
01-25 1万+
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。 第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setStrin
javasql注入 策略_javasql注入详解
weixin_34277051的博客
02-17 404
我们知道,我们的程序如果扩展性不好,很可能被sql注入,我们可以通过集中方法在避免。1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双"-"进行转换等。2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。4.不要把机密信息直接存放,加...
java项目中如何防止sql注入
热门推荐
alan_liuyue的博客
03-07 2万+
简介 SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令; 实践 项目中如何防止sql注入呢,有以下三点: 前端表单进行参数格式控制; 后台进行参数格式化,过滤所有涉及sql的非法字符; //参考:https://freeman983.iteye.com/blog/1153989 //过滤 '...
JAVA防止SQL注入
刘海成的博客
10-31 980
什么是sql注入 如果用户执行 select * from product where id = 5 这条语句。其中5是有用户输入的 SQL注入的含义就是,一些捣蛋用户输入的不是5,而是 5; delete from orders 那么原来的SQL语句将会变为, select * from product where id=5; delete from orders 在执行完s
javasql注入 策略_Java防止SQL注入
weixin_42512012的博客
02-17 311
SQL 注入簡介: SQL注入是最常見的攻擊方式之一,它不是利用操作系統或其它系統的漏洞來實現攻擊的,而是程序員因為沒有做好判斷,被不法用戶鑽了SQL的空子,下面我們先來看下什么是SQL注入:比如在一個登陸界面,要求用戶輸入用戶名和密碼:用戶名: ' or 1=1 --密 碼:點登陸,如若沒有做特殊處理,而只是一條帶條件的查詢語句如:String sql="selec...
java 防止sql注入
最新发布
09-19
Java中有几种方法可以防止SQL注入。一种常见的方法是使用PreparedStatement。PreparedStatement是预编译的SQL语句,可以在执行之前将输入参数作为参数绑定到SQL语句中,而不是将输入参数直接拼接到SQL语句中。这样可以有效地防止SQL注入攻击。 另一种方法是使用框架中的特定功能来防止SQL注入。比如在MyBatis中,可以使用#{}表达式来代替直接拼接参数值到SQL语句中。这种方式类似于PreparedStatement,能够对参数进行预编译处理,从而避免SQL注入攻击。 此外,还可以通过对请求参数进行敏感词汇过滤来防止SQL注入。在接收到用户输入的参数之后,可以对参数值进行过滤,排除其中的敏感词汇,从而减少SQL注入的风险。 总之,通过使用PreparedStatement、特定框架的防注入功能以及对参数进行敏感词汇过滤,可以有效地防止SQL注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值