java开发Sql注入检测正则表达式

最新推荐文章于 2024-08-03 21:28:00 发布
最新推荐文章于 2024-08-03 21:28:00 发布
阅读量2.2k 收藏 7
点赞数 2
分类专栏: Java编程随笔 文章标签: Java Sql注入 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s380203593/article/details/92788105
版权

sql拼装过程中有时候需要把特殊外部的参数拼装到sql语句中去,若不检测外部传入的参数是否含有sql关键词,黑客利用系统这个漏洞注入sql脚本语句进行数据库删除或盗取数据资料。

sql非法注入检测正则表达式

\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\b|(\*|;|\+|'|%)

Java代码片段

/**
 * 是否含有sql注入,返回true表示含有
 * @param obj
 * @return
 */
public static boolean containsSqlInjection(Object obj){
    Pattern pattern= Pattern.compile("\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b|(\\*|;|\\+|'|%)");
    Matcher matcher=pattern.matcher(obj.toString());
    return matcher.find();
}

单元测试

@Test
public void testContainsSqlInjection(){
    boolean b1=SqlUtils.containsSqlInjection("and nm=1");
    assertEquals("b1不为true",true,b1);
    boolean b2=SqlUtils.containsSqlInjection("niamsh delete from ");
    assertEquals("b2不为true",true,b2);
    boolean b3=SqlUtils.containsSqlInjection("stand");
    assertEquals("b3不为false",false,b3);
    boolean b4=SqlUtils.containsSqlInjection("and");
    assertEquals("b4不为true",true,b4);
    boolean b5=SqlUtils.containsSqlInjection("niasdm%asjdj");
    assertEquals("b5不为true",true,b5);
}

参考:

https://www.cnblogs.com/rush/archive/2011/12/31/2309203.html

https://www.runoob.com/java/java-regular-expressions.html

Mr宋
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java sql注入 正则表达式_sql注入之 update/insert/delete篇
weixin_39772420的博客
02-24 1076
1.(简单又有效的方法)PreparedStatement采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。使用好处:(1).代码的可读性和可维护性.(2).PreparedStatement尽最大可能提高性能.(3).最重要的一点是极大地提高了安全性.原理:sql注入只对sql语句的准备(编译)过程有破坏作用而PreparedStatement已经准备好了,执...
java开发sql注入正则表达式检测
shayukaifa的博客
01-14 1058
sql拼装过程中有时候需要把特殊外部的参数拼装到sql语句中去,若不检测外部传入的参数是否含有sql关键词,黑客利用系统这个漏洞注入sql脚本语句进行数据库删除或盗取数据资料。 sql关键词脚本检查正则表达式 \b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char| Java语言 /** * 是否含有sql注入,返回true示含有 * @param obj * @retur
JAVA代码审计之SQL注入代码审计
weixin_68408599的博客
06-12 830
SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互中,前端数据通过后台在对数据库进行操作时,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数中,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。可以说所有可以涉及到数据库增删改查的系统功能点都有可能存在SQL注入漏洞。虽然现在针对SQL注入的防护层出不穷,但大多情况下由于开发人员的疏忽或特定的使用场景,还是会存在SQL注入漏洞的代码。
java sql注入 正则表达式_Java防止SQL注入(转)
weixin_42300960的博客
02-24 3297
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
java sql注入 正则表达式_有效防止SQL注入的5种方法总结
weixin_39767645的博客
03-06 4808
sql注入入门SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。演示下经典的SQL注入我们看到:select id,no from user where id=2;如果该语句是通过sql字符串拼接得到的,比如: String sql...
java sql注入 正则_java使用正则表达式过滤sql注入
weixin_42503660的博客
02-19 2097
现有项目有大量的后台查询没有使用预处理,所以前台必须使用过滤器对参数做过滤以防止sql注入。原有方法,使用字符检索过滤:private boolean isValid(String p) {p = p.toUpperCase();if (p.indexOf("DELETE") >= 0 || p.indexOf("ASCII") >= 0|| p.indexOf("UPDATE") &...
SQL防注入正则表达式
绅士jiejie的博客
07-16 2558
SQL防注入正则表达式
java sql注入正则表达式_Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法...
weixin_36074841的博客
02-24 586
我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和防范sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的防止办法。其实对于其他的,思路基本相似。下面我们先从web应用程序的角度来看一下如何避免sql注入:1、普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句中嵌入另一个Dro...
java:正则表达式检查SQL WHERE条件语句防止注入攻击和常量达式
10km的专栏
12-16 4380
防止外部输入的SQL语句包含注入式攻击代码,主要作法就是对字符串进行关键字检查,禁止不应该出现在SQL语句中的关键字如 `union` `delete`等等,同时还要允许这些字符串作为常量字符串中的内容出现在SQL 语句中。 对于 `where 1=1`这种用法,虽然不能算是注入攻击,但在有的情况下属于危险用法 比如在`DELETE`语句会删除全数据。也应该被警告或禁止。 针对这种情况可以通过正则表达式实现对SQL语句的安全检查
sql关键词脚本检查正则表达式的方法
10-16
在上述描述中,提到了一个Java方法`containsSqlInjection`,它使用正则表达式检测输入字符串中是否存在SQL关键词。这个方法的关键在于正则表达式: ```java Pattern.compile("\\b(and|exec|insert|select|drop|...
基于Java实现正则表达式提取关键字并插入数据库
07-03
在本项目中,我们主要探讨如何使用Java编程语言来实现正则表达式的关键字提取,并将这些关键字存储到MySQL数据库中。这是一个常见的任务,尤其是在数据分析、日志处理或信息提取等场景下。以下是对这个过程的详细...
正则表达式处理文件,处理java和xml文件中的SQL语句
04-30
在这个特定的场景中,我们关注的是如何使用正则表达式来处理Java和XML文件中的SQL语句。在Java编程中,正则表达式可以与`Pattern`和`Matcher`类结合使用,而在XML文件处理中,可能还需要配合DOM或SAX解析器。接下来...
java代码-在线 java正则表达式测试工具,java正则测试,在线java正则匹配
07-16
4. **安全考虑**:在接收用户输入时,需要进行输入验证和转义,防止SQL注入正则表达式注入攻击。 5. **错误处理**:对于无效的正则表达式,需要捕获`PatternSyntaxException`并给出友好的错误提示。 三、示例...
力扣SQL50 患某种疾病的患者 正则表达式
人言束负
08-03 174
Problem:在SQL查询中,REGEXP是用于执行正则表达式匹配的操作符。正则表达式允许使用特殊字符和模式来匹配字符串中的特定文本。具体到你的查询,是一个正则表达式,它使用了一些特殊的通配符和符号。
正则表达式 贪婪与非贪婪匹配
菜鸟记录
08-03 567
正则表达式 贪婪与非贪婪匹配
常用API、正则表达式与Lambda达式
2302_80084329的博客
08-03 133
掌握Java:常用API、正则表达式与Lambda达式Java提供了一套丰富的API和特性,可以显著提升您的编码效率和应用程序功能。在本文中,我们将探讨一些Java中的关键概念和功能,包括日期与时间处理、正则表达式的使用,以及如何通过Lambda达式简化代码。每个概念都将附上实用的代码示例以展示其用法。
探索Perl正则表达式的奥秘:复合模式的高级应用
最新发布
2401_85439108的博客
08-03 282
复合模式是指在正则表达式中组合使用多个基本模式,以创建更复杂的匹配规则。字符类:如\w(匹配字母、数字及下划线)。量词:如(匹配前一个字符零次或多次)。分组和捕获:使用圆括号()来创建子模式。选择操作符:如(逻辑或)。断言:如\b(单词边界)。
正则表达式
nianwan2157的博客
08-03 333
,又称为标准正则表达式,是最早制订的正则达。式规范,仅支持最基本的元字符集。一,另外一种语法标准称为扩展正则表达式。规范制订的两种正则表达式语法标准之。
javasql注入正则表达式
12-16
以下是两个Java防止SQL注入正则表达式: 1. 引用中的正则表达式: ```java private static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|" + "(\\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)"; private static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE); private boolean isValid(String str) { if (sqlPattern.matcher(str).find()) { logger.error("未能通过过滤器:str=" + str); return false; } return true; } ``` 2. 引用中的正则表达式: ```java public static boolean containsSqlInjection(Object obj){ Pattern pattern= Pattern.compile("\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b|(\\*|;|\\+|'|%)"); Matcher matcher=pattern.matcher(obj.toString()); return matcher.find(); } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值