java开发中推荐的防御sql注入方法_java项目中如何防止sql注入

最新推荐文章于 2021-01-13 17:54:29 发布
最新推荐文章于 2021-01-13 17:54:29 发布
阅读量513 收藏
点赞数
文章标签: java开发中推荐的防御sql注入方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30139213/article/details/112890539
版权

简介

SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令;

实践

项目中如何防止sql注入呢,有以下三点:

前端表单进行参数格式控制;

后台进行参数格式化,过滤所有涉及sql的非法字符;

//参考:https://freeman983.iteye.com/blog/1153989

//过滤 '

//ORACLE 注解 -- /**/

//关键字过滤 update,delete

static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"

+ "(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";

static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);//表示忽略大小写

/***************************************************************************

* 参数校验

*

* @param str ep: "or 1=1"

*/

public static boolean isSqlValid(String str) {

Matcher matcher = sqlPattern.matcher(str);

if (matcher.find()) {

System.out.println("参数存在非法字符,请确认:"+matcher.group());//获取非法字符:or

return false;

}

return true;

}

持久层使用参数化的持久化sql,使用预编译语句集,切忌使用拼接字符串;

String sql= "select * from user where name=?";

PreparedStatement ps = conn.prepareStatement(sql);

ps.setString(1, name);

ResultSet rs = ps.executeQuery();

2. mybatis防止sql注入

myatis是一款优秀的持久层框架,在防止sql注入方面,mybatis启用了预编译功能,在所有的SQL执行前,

都会先将SQL发送给数据库进行编译,执行时,直接替换占位符"?"即可;

mybatis在处理传参的时候,有两种处理方式,一种是#,另一种是$;

#{XXX},将传入参数都当成一个字符串,会自动加双引号,已经经过预编译,安全性高,能很大程度上防止sql注入;

${XXX},该方式则会直接将参数嵌入sql语句,未经过预编译,安全性低,无法防止sql注入;

总结

在项目中我们一般都会对sql的参数进行多重的限制,同时多提高代码的规范和质量,多使用预编译功能,这样才能更大程度去防范sql注入

医学生彼得
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java防止SQL注入的几个途径
12-14
JavaSQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐
java 查询时间区间开发代码_看一名Java开发人员以红队思维五分钟审计一套代码...
weixin_39943220的博客
12-03 82
前言代码审计往往需要开发的功底,既站在开发的角度又站在渗透者的角度。这样的角度去审视问题时,往往意味着渗透者比开发更懂业务逻辑,才能找出开发者代码存在的问题。概述Java一直是渗透测试的一块硬骨头,相比其他语言算是比较难啃。下面的文章将从Java漏洞出现的位置从审计的角度出发,深入了解JavaWeb渗透。准备工作众所周知,IntelliJ Idea 一直深受Java开发者的喜爱,他以...
java程序防止sql注入方法
热门推荐
jun0052的专栏
01-25 1万+
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。 第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setStrin
java开发推荐防御sql注入方法_JavaSQL注入
weixin_33743292的博客
01-13 552
SQL 注入简介:SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:比如在一个登陆界面,要求用户输入用户名和密码:用户名: ' or 1=1 --密 码:点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:String sql="select * from...
java开发推荐防御sql注入方法_JAVA程序防止SQL注入方法
weixin_29858113的博客
12-31 288
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:Java代码 String sql= "select * from users where username=? and password=?;PreparedStatement preState = conn.prepareStatement(sql);preState.setString(1, ...
Hibernate使用防止SQL注入的几种方案
01-20
Hibernate使用防止SQL注入的几种方案 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。  在获取便利操作的同时...
Sql注入工具_动力节点Java学院整理
01-21
BSQL Hacker 10个SQL注入工具 BSQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL...The Mole是一款开源的自动化SQL注入工具,其可绕过IPS/IDS(入侵防御系统/入侵检测系统)。只需提供一个URL和一个可用
SQL注入攻击与防御(安全技术经典译丛)
02-19
针对SQL注入隐蔽性极强的特点,本书重点讲解了SQL注入的排查方法和可以借助的工具,总结了常见的利用SQL漏洞的方法。另外,本书还专门从代码层和系统层的角度介绍了避免SQL注入的各种策略和需要考虑的问题。  本书...
SQL注入攻击与防御
10-04
针对SQL注入隐蔽性极强的特点,本书重点讲解了SQL注入的排查方法和可以借助的工具,总结了常见的利用SQL漏洞的方法。另外,本书还专门从代码层和系统层的角度介绍了避免SQL注入的各种策略和需要考虑的问题。  本书...
使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发...
JavaWeb防SQL注入方法
08-13
SQL注入漏洞是Web应用经常出现的安全问题,本文提出了在JSP开发如何防范SQL注入方法,以及使用ORM框架Hibernate防范SQL注入方法
JAVA防止SQL注入攻击类的源代码
04-26
JAVA防止SQL注入攻击类的源代码(包含网页版和程序代码两部分)
java开发推荐防御sql注入方法,防止Java程序SQL注入攻击
weixin_34401008的博客
01-13 79
I have to add a statement to my java program to update a database table:String insert ="INSERT INTO customer(name,address,email) VALUES('" + name + "','" + addre + "','" + email + "');";I heard that t...
java开发推荐防御sql注入方法_防止Java程序SQL注入攻击
weixin_42466723的博客
01-13 137
I have to add a statement to my java program to update a database table:String insert ="INSERT INTO customer(name,address,email) VALUES('" + name + "','" + addre + "','" + email + "');";I heard that t...
java开发推荐防御sql注入方法_sql注入都不知道怎么有效防止,肯定不是一个好的程序员...
weixin_34055902的博客
12-31 290
随着web应用开发的发展,有很多的程序员进入到这个行业,但是这批人的技术水平和编程经验参差不齐,很多人在编写代码的时候,没有对用户输入的参数进行合法性校验,使得这成为了一个潜在的安全隐患。如果遇到技术高手,发现这个问题,他可以提交一段数据库查询脚本,获取对自己想要的数据,这就是我们说的sql Injection,即sql注入。一 背景某高校开发了一个网课系统,学生需在该系统选课并完成学习,数据...
java开发推荐防御sql注入方法_Java防止SQL注入
weixin_30914751的博客
12-31 97
SQL 注入简介:SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:比如在一个登陆界面,要求用户输入用户名和密码:用户名: ' or 1=1 --密 码:点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:String sql="select * from...
Java防止SQL注入有哪些方法
yinshipeng2012的专栏
05-07 493
内容导读:JavaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句加入了新的逻辑.      如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为 PreparedStatement不允许在不同的插入时间改变查询的逻辑结构,大部
java开发推荐防御sql注入方法_java如何防止sql注入
weixin_33601402的博客
12-31 1234
SQL注入是比较常见的网络攻击方式之一。它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,被不法用户钻了SQL的空子,通过SQL语句,实现无帐号登录,甚至篡改数据库。下面本篇就来给大家介绍几种java防止sql注入方法,希望对你们有所帮助。javaSQL注入,最简单的办法是杜绝SQL拼接。SQL注入攻击能得逞是因为在原有SQL语句加入了新的逻辑,如果使用PreparedSta...
使用java语言编写一个正则防止sql注入攻击的工具类
最新发布
05-26
以下是一个简单的工具类,可以用于防止 SQL 注入攻击: ```java import java.util.regex.Pattern; public class ...建议在实际项目采用更为严格的防御措施,例如使用 PreparedStatement、ORM 框架等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值