防止sql注入 java_java怎么防止sql注入?

最新推荐文章于 2021-02-27 07:49:27 发布
最新推荐文章于 2021-02-27 07:49:27 发布
阅读量111 收藏
点赞数
文章标签: 防止sql注入 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_26720479/article/details/114162662
版权

SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。

b0a4b3e6de887ff9b1e66f0d2fc9cecb.png

java后台防止sql注入方法:

1.采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:String sql= "select * from users where username=? and password=?;

PreparedStatement preState = conn.prepareStatement(sql);

preState.setString(1, userName);

preState.setString(2, password);

ResultSet rs = preState.executeQuery();

2.采用正则表达式将包含有 单引号('),分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入public static String SQL(String str)

{

return str.replaceAll(".*([';]+|(--)+).*", " ");

}

userName=SQL(userName);

password=SQL(password);

String sql="select * from users where username='"+userName+"' and password='"+password+"' "

Statement sta = conn.createStatement();

ResultSet rs = sta.executeQuery(sql);

相关推荐:《Java教程》

Matthew_牛
关注
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
Java面试题解析之判断以及防止SQL注入
08-28
Java面试题解析之判断以及防止SQL注入 Java防止SQL注入是目前软件开发中非常重要的一个安全问题,SQL注入攻击是目前黑客最常用的攻击手段,它的原理是利用数据库对特殊标识符的解析强行从页面向后台传入,改变SQL...
Java防止SQL注入
wl_ldy的专栏
02-03 3542
1. 定义: 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 2. 防止SQL注入的方法: A:使用PreparedStatement代替Statement    1)使用PreparedStatement 比Statement的代码的可读性和可维护性更好.    2)PreparedStatem
Java 如何防止sql注入
开发猫
10-20 9360
java 如何防止sql注入 SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是因为程序员没有做好判断,被不法用户钻了SQL的空子,这里结合网上资料,给出java如何防止收起来注入的方法。 java 方法/步骤 1 javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用Prep...
java防止sql注入
weixin_34111819的博客
05-30 53
public final static String filterSQLInjection(String s) { if (s == null || "".equals(s)) { return ""; } try { s = s.trim().replaceAll("</?[s,S][c,C][r,R][i,I][p,P...
java+sql.rar_SQL java_java s_java sql_java sql 简单_java.sql.
09-20
3. **Statement/PreparedStatement**:Statement用于执行静态SQL语句,而PreparedStatement允许预编译SQL语句,提高性能,并防止SQL注入攻击。 4. **ResultSet**:执行SQL查询后返回的结果集,可以通过遍历...
st.rar_SQL java_SQL 导入_java sql_java sql 2000_数据库作业
09-21
`Statement`适用于静态SQL语句,而`PreparedStatement`则用于预编译的SQL语句,能防止SQL注入攻击。 4. **数据导入**:描述中提到“先要导入其中的两个数据库文件”,这通常是指`.bak`或`.mdf`等数据库备份或数据...
sql数据库查询_java_java_sqlserver_sql_
10-01
例如,使用PreparedStatement防止SQL注入,通过批处理减少网络通信,合理设计数据库架构以优化查询效率,以及正确设置连接池来管理数据库连接。 在"chapter12"这个文件中,可能包含了更深入的讲解,如高级查询技巧...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
最新发布
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
Java防止SQL注入的几个途径
12-14
JavaSQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
java程序防止sql注入的方法
jun0052的专栏
01-25 1万+
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。 第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setStrin
java防止SQL注入的几个途径
ye1992的专栏
02-17 2万+
javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQ
java中防sql注入_Java防止SQL注入
weixin_42461108的博客
02-27 141
Java防止SQL注入SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:比如在一个登陆界面,要求用户输入用户名和密码:用户名: ' or 1=1 --密 码:点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:String sql="select ...
Java防止SQL注入2(通过filter过滤器功能进行拦截)
angou6476的博客
12-26 202
首先说明一点,这个过滤器拦截其实是不靠谱的,比如说我的一篇文章是介绍sql注入的,或者评论的内容是有关sql的,那会过滤;且如果每个页面都经过这个过滤器,那么效率也是非常低的。 如果是要SQL注入拦截,可以在数据访问上层的业务层用方法的形式进行手动过滤还靠谱些。 或者使用SQL的参数形式进行,这个绝对是百分百搞得定。 关于SQL注入解释,参考:http://www.cnblogs...
java项目中如何防止sql注入
热门推荐
alan_liuyue的博客
03-07 2万+
简介 SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令; 实践 项目中如何防止sql注入呢,有以下三点: 前端表单进行参数格式控制; 后台进行参数格式化,过滤所有涉及sql的非法字符; //参考:https://freeman983.iteye.com/blog/1153989 //过滤 '...
JAVA防止SQL注入
刘海成的博客
10-31 991
什么是sql注入 如果用户执行 select * from product where id = 5 这条语句。其中5是有用户输入的 SQL注入的含义就是,一些捣蛋用户输入的不是5,而是 5; delete from orders 那么原来的SQL语句将会变为, select * from product where id=5; delete from orders 在执行完s
java 防止sql注入% _
07-27
Java防止SQL注入主要有两种方法: 1. 使用参数化查询(Prepared Statements):这是最常用且推荐的防止SQL注入的方法。通过将SQL查询语句中的参数使用占位符(?)表示,然后使用预编译的语句将参数传递给数据库,可以有效防止SQL注入攻击。例如: ```java String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; PreparedStatement statement = connection.prepareStatement(sql); statement.setString(1, username); statement.setString(2, password); ResultSet resultSet = statement.executeQuery(); ``` 2. 使用输入验证和过滤:在接收用户输入并构建SQL查询之前,对用户输入进行验证和过滤是一种有效的防止SQL注入的方法。可以使用正则表达式或特定的输入验证函数对用户输入进行验证,确保输入符合预期的格式。同时,可以使用字符串替换或转义函数对用户输入中可能包含的敏感字符进行过滤或转义。例如: ```java String username = sanitizeInput(userInput); String password = sanitizeInput(userInput); String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'"; Statement statement = connection.createStatement(); ResultSet resultSet = statement.executeQuery(sql); ``` 需要注意的是,在使用输入验证和过滤时,确保使用可信任的过滤函数或库,并避免手动构建SQL查询语句,以防止其他类型的安全漏洞。而参数化查询(Prepared Statements)是更为推荐和安全的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值