文本入库特殊字符处理, 防止SQL注入

最新推荐文章于 2024-07-01 10:03:48 发布
最新推荐文章于 2024-07-01 10:03:48 发布
阅读量4.6k 收藏 1
点赞数 1
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seapeak007/article/details/77332109
版权

很多SQL注入都是通过文本特殊字符引入,所以很多入库的文本都需要处理特殊字符转译

1.简单的特殊字符替换成转译的字符

简单的代码如下:

public static String escapeSql(String str) {
    if (str == null) {
        return null;
    }
    str = StringUtils.replace(str, "\\", "\\\\");
    str = StringUtils.replace(str, "'", "''");
    str = StringUtils.replace(str, ";", "");
    str = StringUtils.replace(str, "\"", "\\\"");
    return str;
}

org.apache包下有StringEscapeUtils处理特殊字符的工具类,但是需谨慎使用,避免其他字符被替换


2.使用Base64处理文本

byte[] encodeBase64 = Base64.encodeBase64(str.getBytes("UTF-8"));  
System.out.println("AA: " + new String(encodeBase64));
注意加密以及解密时编码问题,也许与数据编码支持

Base64处理时会导致字符串变长,这时需要设置数据库表的字段长度

MySQL在5.6版本的时候增加了to_base64和from_base64函数,这样也方便了通过MySQL查询数据时查看数据

select to_base64('helloworld中国、/"sd ##@$@$\'') from dual  ;
SELECT from_base64('aGVsbG93b3JsZOS4reWbveOAgS8ic2QgIyNAJEAkJw==') from dual ;

3.采用org.hibernate.internal.util.StringHelper方式

利用这种方式生成SQL语句

这种的需要入库DB底层支持Hibernate的方式


参考源码地址:http://www.programcreek.com/java-api-examples/index.php?api=org.hibernate.internal.util.StringHelper

http://www.docjar.com/html/api/org/hibernate/util/StringHelper.java.html





seapeak007
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql特殊字符转义_MYSQL特殊字符转义
weixin_33729566的博客
01-18 8277
MYSQL特殊字符转义在一个字符串中,如果某个序列具有特殊的含义,每个序列以反斜线符号 (“\”)开头,称为转义字符。MySQL 识别下列转义字符:\0一个 ASCII 0 (NULL) 字符。\'一个 ASCII 39 单引号 (“'”) 字符。\"一个 ASCII 34 双引号 (“"”) 字符。\b一个 ASCII 8 退格符。\n一个 ASCII 10 换行符。\r一个 ASCII 13 ...
filter 防止SQL注入(替换特殊字符版)
09-29
filter 防止SQL注入 替换特殊不合格字符。 <!-- 防SQL注入 SQLFilter frame.struts.SQLFilter SQLFilter /* --> 配置文件
php中防止sql注入攻击
大鱼人不能忍烫金竹纤维短袖
01-17 782
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下: $sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' and password='". my
nacos漏洞小结
最新发布
qq_61475980的博客
07-01 1834
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。在路径后面加上可以获取到已有的用户名和密码,可以把User-Agent头改为Nacos-Server,如图更改提交方式为POST, 访问新建一个账号test111,可以看到创建用户成功,如图更改提交方式为DELETE, 访问可以看到用户删除成功,如图更改提交方式为。
jquery过滤特殊字符',防sql注入
mituan1234567的专栏
06-18 861
http://blog.csdn.net/xb12369/article/details/8446248 今天写的代码给项目经理看了下,因为之前没有考虑sql注入的问题,然后在他测试我的code的时候,打了一个“'”,然后我的程序就挂了! 于是乎,我在网上找到了一个验证并过滤文本框的jquery! 先上图: PS:这里用@#测试,因为'太小了,都
防止sql注入,转义特殊字符
qq_29001173的博客
10-11 1785
public class SqlUtils { private static String[] TO_ESCAPE_CHAR = new String[]{"\\", "_","%"}; /** * 转义sql特殊字符 * @param keyword * @return */ public static String esca...
MySQL数据入库特殊字符处理详解
09-10
处理特殊字符时还需要注意,如果你的数据包含可能导致SQL注入的字符,如 `'` 或 `;`,应确保在插入之前进行适当的转义或使用参数化查询来防止安全风险。此外,如果你正在处理用户输入,应始终验证和清理数据,以防止...
java读取TXT文件入库
05-15
- 为了防止SQL注入,建议使用`PreparedStatement`而不是`Statement`。预编译SQL语句,然后用占位符`?`替换实际值。 ```java String sql = "INSERT INTO your_table (field1, field2, field3) VALUES (?, ?, ?)"; ...
解析php入库和出库
12-18
入库时,我们需要确保数据的安全性,防止SQL注入攻击。在示例代码中,可以看到使用了`addslashes()`函数来转义特殊字符,如单引号(')、双引号(")和反斜杠(\)。这是为了在字符串插入到SQL语句中时,避免它们被...
ASP读取本地Excel、Word文件转成html入库
12-12
需要注意的是,为了防止SQL注入,应该对用户输入进行适当的清理和验证。 8. **JS和FILE目录**:`js`目录可能包含JavaScript文件,用于在客户端提供额外的功能,如验证用户输入或实现某些交互效果。`file`目录可能...
C#正则表达式提取网页数据
05-15
3. 使用参数化SQL语句防止SQL注入攻击。 4. 应用日志记录,以便于调试和问题追踪。 5. 考虑使用缓存技术,如Redis,减少对数据库的频繁访问。 总结,使用C#结合正则表达式从网页中提取数据是一项综合性的任务,涉及...
SQL注入攻击及其解决方案--替换特殊字符.rar
09-02
SQL注入攻击及其解决方案--替换特殊字符.rar
mysql 特殊字符 入库_MySQL数据入库特殊字符处理详解
weixin_39933508的博客
02-18 547
在一个字符串中,如果某个序列具有特殊的含义,每个序列以反斜线符号 (“”)开头,称为转义字符。 MySQL 识别下列转义字符:0一个 ASCII 0 (NUL) 字符。'一个 ASCII 39 单引号 (“'”) 字符。"一个 ASCII 34 双引号 (“"”) 字符。一个 ASCII 8 退格符。一个 ASCII 10 换行符。r一个 ASCII 13 回车符。t一个 ASCII 9 制表符(...
防止sql注入:替换危险字符
weixin_33759269的博客
04-26 557
在用户名或者密码框中输入“11‘ or ’1‘ = '1”时,生成的sql语句将为“selec * from userInfo where name = '11' or '1' = '1' and pwd = '11' or '1' = '1'”;该语句永远为真。为了防止sql语句的注入,提高程序的安全性。需要替换危险字符。 Java代码段: public class Ch...
java 过滤sql特殊字符_防止特殊字符SQL注入实现方案
weixin_33356324的博客
02-25 1884
先理解所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL注入问题已经是老生常谈的问题了,如何避免特殊字符SQL注入,下面为大家介绍一种相对比较实用并且很简单的方式。如果是通过"yoodb.com/login?param=素文宅"传递参数,我们需要把中文转码,在传参数时先把参数进行转码,具体代码:java.net...
SQL防止注入工具类,可能用于SQL注入的字符有哪些
JaneYork的博客
02-20 804
为了防止SQL注入,强烈建议使用参数化查询或预处理语句,以确保用户输入的值不会直接拼接到SQL语句中。这样可以有效地防止注入攻击。此外,进行输入验证和过滤,只允许合法的字符输入,是增加应用程序安全性的另一种重要措施。SQL注入是一种攻击技术,攻击者试图通过在输入中注入恶意的SQL代码来干扰应用程序的数据库查询。为了防止SQL注入,你需要了解可能用于注入的一些常见字符和技术。
mysql 特殊字符 入库_MySQL数据入库特殊字符处理
weixin_35662528的博客
01-21 200
在一个字符串中,如果某个序列具有特殊的含义,每个序列以反斜线符号 (“/”)开头,称为转义字符。 MySQL 识别下列转义字符:/0一个 ASCII 0 (NUL) 字符。/'一个 ASCII 39 单引号 (“'”) 字符。/"一个 ASCII 34 双引号 (“"”) 字符。/b一个 ASCII 8 退格符。/n一个 ASCII 10 换行符。/r一个 ASCII 13 回车符。/t一个 AS...
防御SQL注入方法(2)-过滤特殊字符
littlecjx
08-25 4651
防御SQL注入的一个重要方法是对用户输入进行过滤,PHP中mysqli_real_escape_string(connection,escapestring)和mysqli_escape_string(connection,escapestring)函数就是对用户输入进行转义的,两者功能一样。mysql_real_escape_string()与mysql_escape_string()的转义方式在
sqlite3 如何入库特殊字符
07-14
要将特殊字符存储到 SQLite 数据库中,你可以使用参数化查询或转义字符...无论使用哪种方法,都要确保在将特殊字符存储到数据库之前进行正确的处理,以避免 SQL 注入等安全问题。使用参数化查询是更安全和推荐的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值