java防sql注入 策略_java防sql注入详解

最新推荐文章于 2021-02-27 07:49:27 发布
最新推荐文章于 2021-02-27 07:49:27 发布
阅读量412 收藏
点赞数
文章标签: java防sql注入 策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34277051/article/details/114309544
版权

我们知道,我们的程序如果扩展性不好,很可能被sql注入,我们可以通过集中方法在避免。

1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和

双"-"进行转换等。

2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装

6.sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。

2:我们在java中设置变量值的时候,使用?来代替变量,而不是采用如 inserti into test values(test,'1',''2')这种的。

3:我们可以通过过滤器来操作,我们看下面的web.xml加入的代码:

preventIntoScriptFilter

com.questionnaire.common.filter.PreventIntoScriptFilter

preventIntoScriptFilter

*.view

然后我们通过一个filter来实现:

java代码如下:

package com.questionnaire.common.filter;

import java.io.IOException;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.apache.commons.logging.Log;

import org.apache.commons.logging.LogFactory;

public class PreventIntoScriptFilter implements Filter {

private static Log log = LogFactory.getLog(PreventIntoScriptFilter.class);

@Override

public void destroy() {

}

@SuppressWarnings("deprecation")

@Override

public void doFilter(ServletRequest servletRequest,

ServletResponse servletResponse, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest request = (HttpServletRequest) servletRequest;

HttpServletResponse response = (HttpServletResponse) servletResponse;

try {

String s = request.getQueryString();

if (s != null) {

// System.out.println("+++++++++++++++++++++++" + s);

Pattern pattern = Pattern

.compile("(?i)[|;$@'\"<>()+,\\\\#]|%7C|%3B|%24|%40|%27|%22|%3C|%3E|%28|%29|%2B|%2C|%5C|%23");

Matcher matcher = pattern.matcher(s);

if (matcher.find()) {

String s3 = s

.replaceAll(

"(?i)[|;$@'\"<>()+,\\\\#]|%7C|%3B|%24|%40|%27|%22|%3C|%3E|%28|%29|%2B|%2C|%5C|%23",

"");

// System.out.println("+++++++++++++++++++++++" + s3);

response.sendRedirect(request.getRequestURL() + "?" + s3);

}

}

} catch (Exception e) {

log.error("PreventIntoScriptFilter 出错了:" + e);

}

chain.doFilter(request, response);

}

@Override

public void init(FilterConfig filterConfig) throws ServletException {

}

}

这样我们就可以避免了

Wings电子竞技俱乐部
关注
java sql注入正则表达式_Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法...
weixin_36074841的博客
02-24 635
我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的止办法。其实对于其他的,思路基本相似。下面我们先从web应用程序的角度来看一下如何避免sql注入:1、普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句中嵌入另一个Dro...
详解Mybatis框架SQL注入指南
08-18
然而,这种灵活性也带来了安全风险,特别是SQL注入SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过输入恶意的SQL代码来操控数据库。在Mybatis中,如果不正确地处理用户输入,就可能导致SQL注入。 ...
javaSQL注入
11-19
javaSQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
JavaSQL注入
wl_ldy的专栏
02-03 3551
1. 定义: 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 2. SQL注入的方法: A:使用PreparedStatement代替Statement    1)使用PreparedStatement 比Statement的代码的可读性和可维护性更好.    2)PreparedStatem
javasql注入_JavaSQL注入
weixin_42461108的博客
02-27 149
JavaSQL注入SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:比如在一个登陆界面,要求用户输入用户名和密码:用户名: ' or 1=1 --密 码:点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:String sql="select ...
JavaSQL注入的几个途径
zeromike
10-15 366
转载:http://www.51testing.com/html/03/n-805503.html  JavaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在...
javasql注入详解
java_yuan的专栏
10-21 651
我们知道,我们的程序如果扩展性不好,很可能被sql注入,我们可以通过集中方法在避免。 1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和   双"-"进行转换等。   2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。   3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有
基于ESAPI的sql注入jar包及使用示例.rar
10-17
总的来说,基于ESAPI的SQL注入策略是通过预先定义好的安全规则和编码机制,确保用户输入不会破坏SQL语句的结构,从而保障系统的安全性。结合适当的编程实践和安全设计,可以显著降低SQL注入的风险。
javasql注入 策略_JavaSQL注入
weixin_42512012的博客
02-17 318
SQL 注入簡介: SQL注入是最常見的攻擊方式之一,它不是利用操作系統或其它系統的漏洞來實現攻擊的,而是程序員因為沒有做好判斷,被不法用戶鑽了SQL的空子,下面我們先來看下什么是SQL注入:比如在一個登陸界面,要求用戶輸入用戶名和密碼:用戶名: ' or 1=1 --密 碼:點登陸,如若沒有做特殊處理,而只是一條帶條件的查詢語句如:String sql="selec...
JAVA实现sql注入检测
04-24
JAVA实现的网络爬虫以及对爬到的页进行sql注入的判断
java程序sql注入的方法
热门推荐
jun0052的专栏
01-25 1万+
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序sql注入应该注意的地方。 第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setStrin
sql 止注入 java_Java止 SQL 注入
weixin_42363377的博客
02-20 101
遇到 SQL 直接注入的情况,所以查询了一下解决的办法,在此贴一下代码~~package com.java.util;public class filterSQLInjection {public final static String sqlInjection(String s) {if (s == null || "".equals(s)) {return "";}try {s = s.tri...
sql注入 java_JAVA实现sql注入检测
weixin_42118011的博客
02-22 816
【实例简介】JAVA实现的网络爬虫以及对爬到的页进行sql注入的判断【实例截图】【核心代码】sql└── sql├── bin│ ├── Choose.class│ ├── Content.class│ ├── DirScanner│ │ ├── DirParser.class│ │ └── ScanDir.class│ ├── Fieldname.class│...
java开发中推荐的sql注入方法_JAVA程序SQL注入的方法
weixin_29858113的博客
12-31 331
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:Java代码 String sql= "select * from users where username=? and password=?;PreparedStatement preState = conn.prepareStatement(sql);preState.setString(1, ...
sql注入检测工具 mysql_Java自动化SQL注入测试工具—jSQL Injection v0.5
weixin_28947385的博客
02-11 1027
jSQL是一款轻量级安全测试工具,可以检测SQL注入漏洞。它跨平台(Windows, Linux, Mac OS X, Solaris)、开源且免费。更新记录0.5SQL shellUploader0.4Admin page checker and previewBrute forcer (md5 mysql...)Coder (encode decode base64 hex md5...)0....
java参数化查询_【转】参数化查询为什么能够SQL注入
weixin_39888268的博客
02-21 256
很多人都知道SQL注入,也知道SQL参数化查询可以SQL注入,可为什么能止注入却并不是很多人都知道的。本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。首先:我们要了解SQL收到一个指令后所做的事情:在这里,我简单的表示为: 收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。具体可能有点不一样,但大致的步骤如上所示。接着...
Java SQL注入御Filter实现与配置详解
具体来说,过滤器会检查每个请求参数,查找任何可能的SQL注入模式,比如SQL关键字、单引号(')、双引号(")等,然后根据预定义的安全策略进行适当的转义或替换,以确保用户输入不会对数据库造成危害。如果检测到不安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值