防止sql拼接的Java方法_JAVA程序防止SQL注入的方法

最新推荐文章于 2024-09-22 16:16:41 发布
最新推荐文章于 2024-09-22 16:16:41 发布
阅读量983 收藏 2
点赞数
文章标签: 防止sql拼接的Java方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30563489/article/details/114729333
版权

第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:

Java代码

0818b9ca8b590ca3270a3433284dd417.png

0818b9ca8b590ca3270a3433284dd417.png

0818b9ca8b590ca3270a3433284dd417.png

String sql= "select * from users where username=? and password=?;

PreparedStatement preState = conn.prepareStatement(sql);

preState.setString(1, userName);

preState.setString(2, password);

ResultSet rs = preState.executeQuery();

String sql= "select * from users where username=? and password=?;

PreparedStatement preState = conn.prepareStatement(sql);

preState.setString(1, userName);

preState.setString(2, password);

ResultSet rs = preState.executeQuery();

第二种是采用正则表达式将包含有 单引号('),分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入:

Java代码

0818b9ca8b590ca3270a3433284dd417.png

0818b9ca8b590ca3270a3433284dd417.png

0818b9ca8b590ca3270a3433284dd417.png

public static String TransactSQLInjection(String str)

{

return str.replaceAll(".*([';]+|(--)+).*", " ");

}

userName=TransactSQLInjection(userName);

password=TransactSQLInjection(password);

String sql="select * from users where username='"+userName+"' and password='"+password+"' "

Statement sta = conn.createStatement();

ResultSet rs = sta.executeQuery(sql);

public static String TransactSQLInjection(String str)

{

return str.replaceAll(".*([';]+|(--)+).*", " ");

}

userName=TransactSQLInjection(userName);

password=TransactSQLInjection(password);

String sql="select * from users where username='"+userName+"' and password='"+password+"' "

Statement sta = conn.createStatement();

ResultSet rs = sta.executeQuery(sql);

安全性:Java只要使用PreparedStatement,就不会存在注入问题。至今还没遇到用了PreparedStatement还会被注入的情况。

青幕
关注
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
mybatis防止SQL注入方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
Java防止SQL注入
wl_ldy的专栏
02-03 3548
1. 定义: 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 2. 防止SQL注入方法: A:使用PreparedStatement代替Statement    1)使用PreparedStatement 比Statement的代码的可读性和可维护性更好.    2)PreparedStatem
如何防止SQL注入
最新发布
weixin_61898502的博客
09-22 527
用户输入的数据中有SQL关键词,导致在执行SQL语句时出现一些不正常的情况.这就是SQL注入!出现SQL注入是很危险。
java防止sql注入
weixin_34111819的博客
05-30 54
public final static String filterSQLInjection(String s) { if (s == null || "".equals(s)) { return ""; } try { s = s.trim().replaceAll("</?[s,S][c,C][r,R][i,I][p,P...
java程序防止sql注入方法
jun0052的专栏
01-25 1万+
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。 第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setStrin
java持久层框架mybatis防止sql注入方法
09-01
因此,了解并实施防止SQL注入方法对于保障应用程序的安全至关重要。 MyBatis提供了多种机制来防止SQL注入,其中最常用且有效的一种是使用预编译的SQL语句,即PreparedStatement。在MyBatis中,我们通常使用`#{}`...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
java-sql-inspector:用于测试Java代码是否存在SQL注入漏洞的实用程序
02-17
总的来说,Java SQL Inspector是开发过程中一个宝贵的辅助工具,能够帮助团队提高代码安全性,防止SQL注入攻击。结合良好的编程习惯和安全意识,开发者可以构建更健壮、更安全的应用程序,保障用户的数据安全。
Java如何使用Query动态拼接SQL详解
08-26
* 安全的数据访问:Query语言可以提供安全的数据访问机制,防止SQL注入攻击。 4. Query语言的缺点 使用Query语言也存在一些缺点,例如: * 学习成本高:Query语言需要特殊的知识和技能,学习成本较高。 * 性能...
Java防止SQL注入的几个途径
12-14
JavaSQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
java中防sql注入_Java防止SQL注入
weixin_42461108的博客
02-27 144
Java防止SQL注入SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:比如在一个登陆界面,要求用户输入用户名和密码:用户名: ' or 1=1 --密 码:点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:String sql="select ...
java项目中如何防止sql注入
热门推荐
alan_liuyue的博客
03-07 2万+
简介 SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令; 实践 项目中如何防止sql注入呢,有以下三点: 前端表单进行参数格式控制; 后台进行参数格式化,过滤所有涉及sql的非法字符; //参考:https://freeman983.iteye.com/blog/1153989 //过滤 '...
JAVA防止SQL注入
刘海成的博客
10-31 996
什么是sql注入 如果用户执行 select * from product where id = 5 这条语句。其中5是有用户输入的 SQL注入的含义就是,一些捣蛋用户输入的不是5,而是 5; delete from orders 那么原来的SQL语句将会变为, select * from product where id=5; delete from orders 在执行完s
防止sql注入 java_java怎么防止sql注入
weixin_26720479的博客
02-15 115
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。java后台防止sql注入方法:1.采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:String sql= "select * from users where username=? and passw...
Java 如何防止sql注入
开发猫
10-20 9363
java 如何防止sql注入 SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是因为程序员没有做好判断,被不法用户钻了SQL的空子,这里结合网上资料,给出java如何防止收起来注入的方法java 方法/步骤 1 javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用Prep...
java代码防止sql注入_动态Java代码注入
最佳 Java 编程
06-23 1026
java代码防止sql注入 在本文中,我们将研究如何将Java代码动态加载到正在运行的jvm中。 该代码可能是全新的,或者我们可能想更改程序中某些现有代码的功能。 (在开始之前,您可能想知道为什么到底有人会这样做。显而易见的示例是规则引擎之类的东西。规则引擎希望为用户提供添加或更改规则的能力,而不必重新启动规则。您可以通过将DSL脚本作为规则注入规则引擎来执行此操作,这种方法的真正问题是必...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值