java开发中推荐的防御sql注入方法_防止SQL注入(Java)

最新推荐文章于 2024-06-06 14:27:33 发布
最新推荐文章于 2024-06-06 14:27:33 发布
阅读量407 收藏
点赞数
文章标签: java开发中推荐的防御sql注入方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30546683/article/details/112819201
版权

我想保护我的应用程序免受SQL Injection攻击.

第一个问题:更好的方法是什么?

第一种方法:我将每个请求都转换为json:

public JsonObject requestToJson(HttpServletRequest request) throws UnsupportedEncodingException{

request.setCharacterEncoding("UTF-8");

StringBuffer jb = new StringBuffer();

String line = null;

try {

BufferedReader reader = request.getReader();

while ((line = reader.readLine()) != null)

jb.append(line);

} catch (Exception e) { /*report an error*/ }

return new JsonParser().parse(jb.toString()).getAsJsonObject();

}

如果是最好的方法,请在这里阻止它,然后第二个问题:在这里如何做?

第二种方法:可以通过Hibernate级别完成.第二个问题:该怎么做?

解决方法:

感谢此用户:Elliott Frisch.他在评论中回答.

像这样的JPARepository已经被禁止进行SQL注入:

public interface UserRepository extends JpaRepository {

User findByPhoneNumber(String phoneNumber);

}

只需要防止使用HQL:

String query1 = "select * from MyBean where id = "+ id;

String query2 = "select * from MyBean where id = :id";

第二个,将被保护.

感谢大家.

标签:hibernate,sql-injection,spring,java

来源: https://codeday.me/bug/20191119/2036043.html

茧居一十三
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Expression表达式树缓存 Expression表达式树序列化
06-15
Expression表达式树缓存 Expression表达式树序列化
防御SQL注入方法总结
09-10
4. 防御SQL注入方法: - **使用预编译SQL语句**:预编译的SQL语句(如Java的`PreparedStatement`)在执行前已经由数据库解析和优化,确保用户输入仅被视为数据而非SQL命令的一部分。例如,`String sql = ...
Hadoop源码分析笔记(NameNode启动流程)
美美的大猪蹄子的博客
10-15 349
一、准备工作 安装idea 下载hadoop源码 https://archive.apache.org/dist/hadoop/common/hadoop-2.7.0/hadoop-2.7.0-src.tar.gz 将源码导⼊idea⼯具(直接导⼊即可,具体方法百度) 二、开始!冲! (一)NameNode启动流程 跟踪NameNode启动的主流程源码 1) Ctrl + N 搜索类名 NameNode,查看类注释,line 133 /**********************************
Java 项目防止 SQL 注入的四种方案
最新发布
qq_32885471的博客
06-06 518
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重。
SpringBoot使用Spring缓存注解
JustryDeng
04-13 1万+
声明:Spring缓存注解的使用非常简单,主要是理解,所以本文主要以示例+注释(图片版)进行说明,核心部分 会给出文字版;当然本人测试时完整的项目代码会放在GitHub上,链接见本文末。 目录 启用Spring缓存注解技术 Spring缓存注解总体介绍 缓存注解的常用属性(以示例进行说明) key condition cacheNames unless al...
ASP.NET_数据缓存理论
黑夜中的潜行者
09-06 245
缓存   缓存是一种在计算机广泛用来提高性能的技术,它将访问频率高或构造成本高的数据保留在内存。   在Web应用程序的上下文,缓存用于在HTTP请求时保留页面或者数据,并在无须新创建的情况加多次使用它们。   一旦应用程序停止或者重新启动,其缓存将被清除   生成高性能、可缩放的Web应用程序最重要的因素之一是能够在首次请求项时将这些项存储在内存,不管它们是数据对象,还是页的某些部分。可以将这些项存储在Web服务器上或请求流的其他软件上,例如代理服务器或浏览器。使用户能够避免重新创建满足先前
关于@Cacheable
hacker_Lees的博客
05-14 3890
对于一些经常访问,却又很少变动的类常量列表,每调用一次,都会增加一次数据库IO访问,缓存是个不错的策略。 @Cacheable可以标记在一个方法上,也可以标记在一个类上。 当标记在一个方法上时表示该方法是支持缓存的,当标记在一个类上时则表示该类所有的方法都是支持缓存的。 对于一个支持缓存的方法,Spring会在其被调用后将其返回值缓存起来,以保证下次利用同样的参数来执行该方法时可以直接从缓存获取...
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
避免sql注入_动力节点Java学院整理
08-29
漏洞扫描工具可以发现攻击点,但不能主动起到防御SQL注入攻击的作用。 最后,在Java Web应用程序,可以采用预编译语句集来解决SQL注入问题。预编译语句集内置了处理SQL注入的能力,只要使用它的setXXX方法传值...
Sql注入工具_动力节点Java学院整理
01-21
BSQL Hacker 10个SQL注入工具 BSQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL...The Mole是一款开源的自动化SQL注入工具,其可绕过IPS/IDS(入侵防御系统/入侵检测系统)。只需提供一个URL和一个可用
Hibernate使用防止SQL注入的几种方案
01-20
以下是Hibernate防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...
Spring源码解析(一) 缓存——@Cacheable
方方园园的博客
07-27 1181
@Cacheable(value = "CACHE_BOOK",key = "#username", condition = "#language = 1") public List<Book> getBooksByUsernameAndLanguage(String username, int language) { // balabalabala...里面的代码不重要 return bookList; } value : 必须要的。就是个自己取的名字,通过它指明了第一次
@Cacheable2019.9.5
Kakio的博客
09-05 237
在软件开发使用缓存已经有一个非常久的历史了。缓存是一种很好的设计思想,一旦你用了他,你将会发现他确实很有用。Spring3.1版本的核心对缓存做了实现。在Java推出Annotation特性之前,实现缓存的一个难点在于它与业务逻辑代码的耦合性太强。 然而,Spring3.1使用@Cacheable 和@CacheEvict实现缓存在某种程度上解决了这个问题,基本思想是在方法加上@Cacheab...
Springboot 使用 CaffeineCache 的 @Cacheable EL表达式引入注入的 bean 方法定义KEY
weixin_38391672的博客
08-04 1491
@Cacheable keyuseannotationbeaninSpring 调用Sping容器的bean的方法在@Cacheable的 EL表达式; @Service public class GenerateKey { public String getKey(){ return "key"; } } @Service public class CacheUtilsService { //使用public 修饰符 @Aut...
缓存注解 Cachealble CacheEvict CachePut 浅谈,以及conditions和ulessSpEL表达式
kkgbn的博客
08-04 7227
在之前,我们采用的进程缓存可以是ConcurrentHashMap,加了锁的LinkedHashMap,WeakHashMap,以及Google guava Cache,需要自己定义或者实现缓存过期处理以及LRU等。这些本地有以下缺点:①和自己业务逻辑耦合度高。②难以整合其他的缓存方案。 spring3之后可以通过注解来配置缓存。通过很少的代码就可以提供缓存功能,让代码变得更优雅。 sprin
EL表达式
qq_38177482的博客
06-14 151
${  EL exprission} 关系操作符 逻辑操作符 Empty操作 逻辑操作符 说明 示例 结果 &&(或and) 逻辑与  如果A为true,B为false,则A&&B(或A and B)    false ||(或or) 逻辑或
三十七、缓存注解@Cacheable、@CacheEvict、@CachePut详解
热门推荐
基督山伯爵的博客
08-07 3万+
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;缓存注解@Cacheable、@CacheEvict、@CachePut详解 一、@Cacheable用法详解 1、用在哪里? &nbsp;&nbsp;&nbsp;&nbsp;用在方法或者类上。 2、这两种用法有什么区别? &nbsp;&nbsp;&nbsp;&nbsp;用
搭建hadoop集群常见坑:hadoop集群namenode启动不起来的成因和二种解决方法
zyz的博客
11-19 5293
hadoop集群namenode启动不起来如何解决 新手在初次搭建hadoop集群经常遇到namenode或者databode启动不起来,大概率是因为多次格式化NameNode造成的。 因为每格式化一次NameNode,就会产生新的集群id,导致NameNode和DataNode的集群id不一致,最终启动不起来namenode。有二个解决方法: 第一种.删除原目录,先删除data文件和logs日志文件夹,然后再格式化NameNode。data文件的路径在core-site.xml下配置的h..
hadoop namenode启动过程
u012957549的博客
01-22 2247
NameNode启动过程详细剖析 1. FSImage Namenode会将HDFS的文件和目录元数据存储在一个叫fsimage的二进制文件,每次保存fsimage之后到下次保存之间的所有hdfs操作,将会记录在editlog文件,当editlog达到一定的大小(bytes,由fs.checkpoint.size参数定义)或从上次保存过后一定时间段过后(sec,由fs.checkpoint.p...
Oracle开发人员防范SQL注入攻击指南
JDBC是Java访问数据库的标准API,文档强调了`PreparedStatement`和`CallableStatement`接口在防止SQL注入的重要性。 5、**防护策略** - **绑定变量**:使用预编译语句和绑定变量可以有效防止SQL注入。 - **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值