java开发中推荐的防御sql注入方法_Java 防SQL注入

最新推荐文章于 2023-08-28 13:02:07 发布
最新推荐文章于 2023-08-28 13:02:07 发布
阅读量552 收藏 1
点赞数
文章标签: java开发中推荐的防御sql注入方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33743292/article/details/112890542
版权

SQL 注入简介:

SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:

比如在一个登陆界面,要求用户输入用户名和密码:

用户名: ' or 1=1 --

密 码:

点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:

String sql="select * from users where username='"+userName+"' and password='"+password+"' "

那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

这是为什么呢?我们来看看这条语句,将用户输入的数据替换后得到这样一条语句:

select * from users where username='' or 1=1 --' and password=''

为了更明白些,可以将其复制到SQL分析器中,将会发现,这条语句会将数据库的数据全部读出来,为什么呢?

很简单,看到条件后面 username='' or 1=1 用户名等于 '' 或 1=1 那么这个条件一定会成功,然后后面加两个-,这意味着

什么?没错,注释,它将后面的语句注释,让他们不起作用,这样就可以顺利的把数据库中的数据读取出来了。

这还是比较温柔的,如果是执行

select * from users where username='' ;DROP Database (DB Name) --' and password=''

.......其他的您可以自己想象。。。

怎么解决?

1.尽量少使用或者不使用动态sql,这样可以减少用户提供的sql直接放入语句。

2.对数据库一些敏感内容进行加密存储,比如密码,电话等。

3.限制数据库权限。

4.不要直接向用户显示数据库错误,因为攻击者可以通过错误信息获取一定的有用信息。

5.在代码上:进行过滤(在将拼接好的sql准备放入数据库中执行前进行拦截判断,用正则表达式或者使用Java语言自带的预编译)

无边落木james
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Sql注入工具_动力节点Java学院整理
01-21
BSQL Hacker 10个SQL注入工具 BSQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL...The Mole是一款开源的自动化SQL注入工具,其可绕过IPS/IDS(入侵防御系统/入侵检测系统)。只需提供一个URL和一个可用
Java项目防止SQL注入的方式总结
睡竹的博客
03-02 9312
Java项目防止SQL注入的方式总结 springboot配置请求过滤器防止SQL注入 nginx防止SQL注入 mybatis防止SQL注入
java防止SQL注入
zwjzone的博客
03-10 1107
springboot使用$符号传参,防止sql注入
防止SQL注入
AgonyAngela的博客
03-30 2010
防止SQL注入
SQL注入
weixin_44693449的博客
10-28 401
SQL 防止SQL注入的五种方法 一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面...
java防止xss脚本注入攻击,采用spring工具类方式(Acunetix Web Vulnerability Scanner 10.5测试有效)
辉少的博客
01-24 2609
1. pom添加依赖 <dependency> <groupId>org.apache.tomcat</groupId> <artifactId>tomcat-servlet-api</artifactId> <version>8.0.36</version> <sc
Hibernate使用防止SQL注入的几种方案
01-20
Hibernate使用防止SQL注入的几种方案 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。  在获取便利操作的同时...
SQL注入攻击与防御(安全技术经典译丛)
02-19
针对SQL注入隐蔽性极强的特点,本书重点讲解了SQL注入的排查方法和可以借助的工具,总结了常见的利用SQL漏洞的方法。另外,本书还专门从代码层和系统层的角度介绍了避免SQL注入的各种策略和需要考虑的问题。  本书...
SQL注入攻击与防御
10-04
针对SQL注入隐蔽性极强的特点,本书重点讲解了SQL注入的排查方法和可以借助的工具,总结了常见的利用SQL漏洞的方法。另外,本书还专门从代码层和系统层的角度介绍了避免SQL注入的各种策略和需要考虑的问题。  本书...
使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发...
如何防御JavaSQL注入
xsharkrasp的博客
05-26 229
SQL注入(也称为SQLi)是指攻击者成功篡改Web应用输入,并在该应用上执行任意SQL查询。此种攻击通常会利用编程语言用来括住字符串的转义字符。攻击者想方设法用表单字段或URL参数向应用注入额外的SQL代码进而获得在目标数据库上执行未经授权的操作的能力。图1:SQL注入原理SQL注入是Web应用最常遭受攻击类型之一;此外,还有许多安全威胁是Java开发人员应该注意的,包括:恶意JarXSS注入Java LDAP注入XPath注入SecurityManager漏洞1、识别第三方漏洞。
[实践总结] Java 防止SQL注入的四种方案
最新发布
张紫娃的博客
08-28 838
当 id 传值为 1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重。
Java防止SQL注入(通过Filter过滤器功能进行拦截)
qq_37272886的博客
05-18 6220
前言 contentType=multipart/form-data的header以文件流的的形式上传文件时,如果代码使用了Filter,会出现无法用Filter 用ServletRequest.getParameter 方法取不到一并提交上来的参数 multipart/form-data格式: package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import java.
java如何防止sql注入
weixin_44965143的博客
02-11 5551
什么是sql注入 SQL注入是比较常见的网络攻击方式之一,在客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令;它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 sql注入可能产生的影响 恶意用户可以未经授权访问您的应用程序并窃取数据。 他们可以更改,删除数据库的数据并关闭您的应用程序。 黑客还可以通过执行数据库特定...
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 2万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串,以提高应用程序的安全性。
javasql注入 转义_StringEscapeUtils的常用使用防止SQL注入及XSS注入
weixin_30774211的博客
02-26 1675
引入common-lang-2.4.jar一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能官方参考文档StringEscapeUtils.unescapeHtml(sname)1.escapeSql 提供sql转移功能,防止sql注入攻击,例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffer("select...
java解决sql注入完整的工具类
sunrj_niu的博客
08-06 2038
【代码】java解决sql注入完整的工具类。
java 防止sql xxs注入_【Java防止SQL注入问题 解决XSS攻击 (个人梳理)
weixin_35799294的博客
03-06 540
Java防止SQL注入问题 解决XSS攻击 (个人梳理)【Java防止SQL注入问题 解决XSS攻击 (个人梳理)文章目录前言sql注入是什么,就是用户通过在表单填写包含 SQL 关键字的数据来使数据库执行非常 规代码的过程。简单来说,就是客户端插入的数据做了代码才能干的 事情。这个问题的来源是,SQL 数据库的操作是通过 SQL 语句来执行的,而无论是执行代 码还是数据项都必须写在 SQ...
java sql 工具类_JavaSQL注入工具类
weixin_42471237的博客
02-16 1668
import javax.servlet.http.HttpServletRequest;/*** SQL注入工具类* 把SQL关键字替换为空字符串* @author zhao* @since 2015.7.23*/public class AntiSqlInjection {public final static String regex = "'|%|--|and|or|not|use|in...
sql的java防御代码
06-01
以下是几种常见的防止 SQL 注入攻击的 Java 代码: 1. 使用预编译的 SQL 语句和参数化查询: ``` String sql = "SELECT * FROM users WHERE username = ?"; PreparedStatement pstmt = conn.prepareStatement(sql)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值