java sql inj_Java防止SQL注入的几个途径

最新推荐文章于 2023-10-10 18:56:45 发布
最新推荐文章于 2023-10-10 18:56:45 发布
阅读量218 收藏
点赞数
文章标签: java sql inj
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29821699/article/details/114145994
版权

java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数

01  import java.io.IOException;

02  import java.util.Iterator;

03  import javax.servlet.Filter;

04  import javax.servlet.FilterChain;

05  import javax.servlet.FilterConfig;

06  import javax.servlet.ServletException;

07  import javax.servlet.ServletRequest;

08  import javax.servlet.ServletResponse;

09  import javax.servlet.http.HttpServletRequest;

10  import javax.servlet.http.HttpServletResponse;

11  /**

12  * 通过Filter过滤器来防SQL注入攻击

13  *

14  */

15  public class SQLFilter implements Filter {

16  private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,";

17  protected FilterConfig filterConfig = null;

18  /**

19  * Should a character encoding specified by the client be ignored?

20  */

21  protected boolean ignore = true;

22  public void init(FilterConfig config) throws ServletException {

23  this.filterConfig = config;

24  this.inj_str = filterConfig.getInitParameter("keywords");

25  }

26  public void doFilter(ServletRequest request, ServletResponse response,

27  FilterChain chain) throws IOException, ServletException {

28  HttpServletRequest req = (HttpServletRequest)request;

29  HttpServletResponse res = (HttpServletResponse)response;

30  Iterator values = req.getParameterMap().values().iterator();//获取所有的表单参数

31  while(values.hasNext()){

32  String[] value = (String[])values.next();

33  for(int i = 0;i < value.length;i++){

34  if(sql_inj(value[i])){

35  //TODO这里发现sql注入代码的业务逻辑代码

36  return;

37  }

38  }

39  }

40  chain.doFilter(request, response);

41  }

42  public boolean sql_inj(String str)

43  {

44  String[] inj_stra=inj_str.split("\\|");

45  for (int i=0 ; i < inj_stra.length ; i++ )

46  {

47  if (str.indexOf(" "+inj_stra[i]+" ")>=0)

48  {

49  return true;

50  }

51  }

52  return false;

53  }

54  }

也可以单独在需要防范SQL注入的JavaBean的字段上过滤:

1   /**

2   * 防止sql注入

3   *

4   * @param sql

5   * @return

6   */

7   public static String TransactSQLInjection(String sql) {

8   return sql.replaceAll(".*([';]+|(--)+).*", " ");

9   }

靳天羽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
Java防止SQL注入几个途径
12-14
Java 防止 SQL 注入几个途径 Java 防止 SQL 注入是一个非常重要的安全问题。SQL 注入攻击是黑客最常用的攻击方式之一,它可以让攻击者访问或修改数据库中的敏感信息。因此,防止 SQL 注入Java 开发者必须注意...
Java项目防止SQL注入的四种方案
最新发布
学IT,找陈寒
10-10 9090
SQL注入是一种严重的安全漏洞,但通过采取适当的预措施,可以有效地防止它。在Java项目中,使用预编译语句、输入验证和过滤、ORM框架以及安全的数据库访问库是防止SQL注入攻击的四种常见方法。选择适合你的项目的方法,并始终保持警惕,以确保你的应用程序免受潜在的威胁。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线2023年完整版Java学习路线图AIGC人工智能Chat GPT是什么,初学者怎么使用Chat GPT,需要注意些什么Java实战项目。
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
Java如何避免sql注入详解
weixin_47390965的博客
01-12 9010
sql注入是web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息、利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 造成sql注入的原因: 程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL脚本,程序在接收后错误的将攻击者的输入作为SQL语句的一部分执行,导致原始的查询逻辑被改变,执行了攻击者精心构造的恶意SQL语句。 如从用户表根据用户名admin和密码123查用户信息 select * from User where
sql_inj_manual.rar_sql manual_sql_inj
09-24
"sql_inj_manual.rar_sql manual_sql_inj" 提供的资源显然是一份关于SQL注入的手册,旨在帮助读者深入理解和御这种攻击。 SQL注入攻击的原理在于,当一个应用没有正确地过滤或转义用户提供的输入,这些输入可以被...
Java面试题解析之判断以及防止SQL注入
08-28
Java防止SQL注入是目前软件开发中非常重要的一个安全问题,SQL注入攻击是目前黑客最常用的攻击手段,它的原理是利用数据库对特殊标识符的解析强行从页面向后台传入,改变SQL语句结构,达到扩展权限、创建高等级用户...
st.rar_SQL java_SQL 导入_java sql_java sql 2000_数据库作业
09-21
`Statement`适用于静态SQL语句,而`PreparedStatement`则用于预编译的SQL语句,能防止SQL注入攻击。 4. **数据导入**:描述中提到“先要导入其中的两个数据库文件”,这通常是指`.bak`或`.mdf`等数据库备份或数据...
JAVA_database.rar_SQL java_SQL java 认证_access_java sql_连接池
09-14
JDBC为Java程序员提供了一个统一的接口,可以用来连接各种不同类型的数据库,包括MySQL、Oracle、SQL Server等。 "access_java_sql"这部分内容可能是指使用Java访问Microsoft Access数据库。Access是一种小型数据库...
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
java项目中如何防止sql注入
alan_liuyue的博客
03-07 2万+
简介 SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令; 实践 项目中如何防止sql注入呢,有以下三点: 前端表单进行参数格式控制; 后台进行参数格式化,过滤所有涉及sql的非法字符; //参考:https://freeman983.iteye.com/blog/1153989 //过滤 '...
java 怎么添加可信网址_给内容里面的的网址添加链接
weixin_39950867的博客
02-26 609
JAVA代码项目的一个需求,给用户提交的内容中的网址添加上链接,PC端用的是jsp,所以用了taglib,用起来更加方便,关键代码:Pattern p = Pattern.compile("(https?://|www\\.)[a-zA-Z_0-9\\-@]+(\\.\\w[a-zA-Z_0-9\\-:]+)+(/[()~#&\\-=?\\+\\%/\\.\\w]+)?");Matcher...
mysql5inj_sql注入Sql注入
weixin_42469444的博客
02-18 160
Sql注入SQL注入语句是学习SQL语句过程中需要掌握的知识,下面就为您介绍5个标准的SQL注入语句,希望对您了解SQL注入语句有所帮助。1.判断有无注入点; and 11=1 and 1=22.猜表一般的表的名称无非是admin adminuser user passpassword 等..and 0<>(selectcount(*) from *)and 0<>(sel...
Java防止SQL注入
三千弱水的专栏
09-23 4077
Java防止SQL注入 SQL 注入简介:         SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法 用户钻了SQL的空子,下面我们先来看下什么是SQL注入:         比如在一个登陆界面,要求用户输入用户名和密码:         用户名:     ' or 1=1
防止SQL注入
独乐乐不如众乐乐
05-09 233
防止SQL注入 参数化SQL是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,用@来表示参数。 在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行,因此就算参数中含有恶意的指令,由于已经编译完成,就不会被数据库所运行,因此,可从一定程度上避免SQL注入。...
java web中防止sql注入
王百林的博客
12-22 2034
//取得本次请求request中的参数 Map paramMap = request.getParameterMap(); //参数key Set keySet = paramMap.keySet(); for (String key : keySet) { //参数value String[] paramValue = paramMap.get(key); for (String
sql注入 java_转 Java防止SQL注入
weixin_31524201的博客
02-12 141
SQL 注入简介:SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:比如在一个登陆界面,要求用户输入用户名和密码:用户名: ' or 1=1 --密 码:点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:String sql="select * from...
java sql注入 正则_Java-java程序防止sql注入的方法
05-25
Java程序防止SQL注入的方法有以下几种: 1. PreparedStatement:使用PreparedStatement代替Statement,PreparedStatement使用占位符(?)来表示参数,这样可以有效防止SQL注入攻击。 2. 使用Java的正则表达式对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值