java防sql注入 转义_Java - 转义字符串以防止SQL注入

最新推荐文章于 2024-08-19 03:52:51 发布
最新推荐文章于 2024-08-19 03:52:51 发布
阅读量595 收藏
点赞数
文章标签: java防sql注入 转义
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39734646/article/details/114154143
版权

Richard..

6

您需要以下代码.乍一看,这可能看起来像我编写的任何旧代码.但是,我所做的是查看http://grepcode.com/file/repo1.maven.org/maven2/mysql/mysql-connector-java/5.1.31/com/mysql/jdbc/PreparedStatement的源代码. java.然后,我仔细查看了setString(int parameterIndex,String x)的代码,找到它转义的字符,并将其自定义为我自己的类,以便它可以用于您需要的目的.毕竟,如果这是Oracle逃脱的字符列表,那么知道这一点在安全方面确实令人感到安慰.也许Oracle需要一个推动,为下一个主要的Java版本添加类似于这个的方法.

public class SQLInjectionEscaper {

public static String escapeString(String x, boolean escapeDoubleQuotes) {

StringBuilder sBuilder = new StringBuilder(x.length() * 11/10);

int stringLength = x.length();

for (int i = 0; i < stringLength; ++i) {

char c = x.charAt(i);

switch (c) {

case 0: /* Must be escaped for 'mysql' */

sBuilder.append('\\');

sBuilder.append('0');

break;

case '\n': /* Must be escaped for logs */

sBuilder.append('\\');

sBuilder.append('n');

break;

case '\r':

sBuilder.append('\\');

sBuilder.append('r');

break;

case '\\':

sBuilder.append('\\');

sBuilder.append('\\');

break;

case '\'':

sBuilder.append('\\');

sBuilder.append('\'');

break;

case '"': /* Better safe than sorry */

if (escapeDoubleQuotes) {

sBuilder.append('\\');

}

sBuilder.append('"');

break;

case '\032': /* This gives problems on Win32 */

sBuilder.append('\\');

sBuilder.append('Z');

break;

case '\u00a5':

case '\u20a9':

// escape characters interpreted as backslash by mysql

// fall through

default:

sBuilder.append(c);

}

}

return sBuilder.toString();

}

}

我认为这段代码是上述链接中反编译的源代码版本.现在在更新的`mysql-connector-java-xxx`中,`case'\ u00a5'`和`case'\ u20a9'`语句似乎已被删除 (2认同)

weixin_39734646
关注
java 字符串转义_java中如何忽略字符串中的转义字符
weixin_29765215的博客
02-21 5913
接口调用成功后,输出返回的报文中有类似“\u79fb\u52a8\u4e92\u8054\u7f51\u5e94\u7528”的Unicode字符,有点纳闷,记得java是会自动转换Unicode字符为中文才对。通过断点debug一看,发现返回的报文在程序中被转换为“\u79fb\u52a8\u4e92\u8054\u7f51\u5e94\u7528”,两个反斜杠表示字符‘\’,所以输出的不是Un...
java-sql-inspector:用于测试Java代码是否存在SQL注入漏洞的实用程序
02-17
这使得开发者可以快速定位问题,采取适当的御措施,比如使用预编译的PreparedStatement来防止SQL注入,或者应用输入验证和转义。 在信息安全领域,预SQL注入是非常关键的。使用Java SQL Inspector这类工具进行...
Java项目如何防止SQL注入的四种方案
IT小辉同学
10-09 1180
那一片叶,纷飞在长安的旧街,她站在南墙,我隔着北巷。。。。。。
sql里面有特殊字符怎么转义java方法
最新发布
weixin_42024254的博客
08-19 54
我整理的一些关于【Java】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/bLN8S1SQL特殊字符转义Java方法项目方案 在现代应用开发中,数据库操作是不可或缺的一部分。而在与数据库进行交互时,特别是使用SQL语句时,我们常常会遇到特殊字符的处理问题。这些特殊字符,如果...
sql特殊字符转义处理,防止注入
lychaox的专栏
09-23 8481
SQL特殊字符转义 应 该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安全问题。网络中有大量讲解 SQL 注入的文章,感兴
java转义_在Java中,有没有办法在不必转义引号的情况下编写字符串文字?
weixin_39607798的博客
02-15 376
原始字符串文字(在琥珀色列表中)将不会进入JDK 12.请参阅此处的批评。Java的未来版本可能存在(10个或更多)。JEP草案:原始字符串文字将一种新的文字(原始字符串文字)添加到Java编程语言中。与传统的字符串文字一样,原始字符串文字生成一个String,但不解释字符串转义,并且可以跨越多行源代码。所以代替:Runtime.getRuntime().exec("\"C:\\ProgramF...
java mysql转义_Java-转义字符串防止SQL注入
weixin_35427369的博客
02-01 318
小编典典PreparedStatement是可行的方法,因为它们使SQL注入成为不可能。这是一个简单的示例,将用户的输入作为参数:public insertUser(String name, String email) {Connection conn = null;PreparedStatement stmt = null;try {conn = setupTheDatabaseConnecti...
javasql注入 转义_Java-转义字符串防止sql注入
weixin_42384743的博客
02-26 1217
慕仙森PreparedStatement是可行的,因为它们使SQL注入成为不可能。下面是一个简单的示例,将用户的输入作为参数:publicinsertUser(Stringname,Stringemail){Connectionconn=null;PreparedStatementstmt=null;try{conn=setupTheDat...
javasql注入 转义_StringEscapeUtils的常用使用,防止SQL注入及XSS注入
weixin_30774211的博客
02-26 1740
引入common-lang-2.4.jar中一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能官方参考文档StringEscapeUtils.unescapeHtml(sname)1.escapeSql 提供sql转移功能,防止sql注入攻击,例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffer("select...
java 过滤器filtersql注入的实现代码
09-01
本文将详细介绍如何使用Java Filter实现防止SQL注入的功能。 首先,我们需要创建一个实现了`javax.servlet.Filter`接口的类,例如名为`XSSFilter`。这个类将负责拦截请求并处理可能存在的SQL注入风险。下面是一个...
zhuru.rar_SQL inject_asp注入_sql 注入_sql注入_zhuru sql
09-14
在这个测试环境中,可以通过尝试输入恶意SQL语句来模拟攻击,例如,使用单引号(')关闭字符串,或使用分号(;)来插入额外的SQL命令。同时,应当学习如何通过参数化查询、预编译语句、输入验证和限制数据库用户的权限等...
浅析php过滤html字符串,防止SQL注入的方法
10-27
在本文中,我们将探讨PHP中的两个重要话题:如何过滤HTML字符串以及如何防止SQL注入。这两者都是在开发过程中需要特别注意的安全问题,它们对网站和应用程序的安全有着直接的影响。 首先,让我们从过滤HTML字符串...
SQL中的转义字符
12-14
SQL(结构化查询语言)中,转义字符是一个关键概念,它允许用户在字符串中插入特殊字符,如单引号、百分号和下划线,这些字符在SQL语句中通常具有特定含义。转义字符使得这些特殊字符能够被当作普通文本处理,而...
Java如何避免sql注入详解
weixin_47390965的博客
01-12 9048
sql注入是web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息、利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 造成sql注入的原因: 程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL脚本,程序在接收后错误的将攻击者的输入作为SQL语句的一部分执行,导致原始的查询逻辑被改变,执行了攻击者精心构造的恶意SQL语句。 如从用户表根据用户名admin和密码123查用户信息 select * from User where
java处理sql注入方法——sql转义
xzw_123的专栏
01-13 8798
昨天被扫描出来sql注入问题,之前以为已经解决了,没想到还是出现了。 网上现有方法: 1、preparestatement 由于每次执行都需要prepare,所以不推荐使用 2、一个单引号变成两个replace("'","''")其他的字符串替代方法有着局限性,就不列举了。 我最开始使用的是2方法,但是还是有方法可以破解。 后来参考php的addslashes函数,写了一个java的e
Java中处理带转义符号的字符串,忽略转义
bob_man的博客
06-29 2588
强烈安利一个工具类: org.apache.commons.lang.StringEscapeUtils 反正很猛 String str = ResponseVo.getData(); StringEscapeUtils.unescapeJava(str); 除此之外,这个类还可以处理对js sql html xml等代码进行转义,比如去处理SQL注入的问题,等等 ...
Java避免转义+去除html标签
在那一刻,我们或许会发现自己站在了时间的另一岸,以更加成熟和宽广的胸怀,去拥抱那份隔代相传的深情。
07-20 1815
2、依旧会存在特殊字符影响xml解析,所以加入CDATA标签,避免转义。目标是将数据库中存贮的一个字符串加工处理,让后放到xml文件中。这个字符串就可以完美的放入xml中了,类似如下。1、去除html标签。...
javasql注入 转义,这个简单的字符串转义是否可以阻止任何SQL注入
weixin_42505477的博客
02-26 185
I'm working at a company where the person responsible for the database module is strictly against using prepared statements. I'm worrying that his implementation is not secure.Here is the code we are ...
javaSQL注入html编码入侵特殊字符转义和方法入参检测工具(Spring)
binyao02123202的专栏
03-18 2844
<br />Spring 不但提供了一个功能全面的应用开发框架,本身还拥有众多可以在程序编写时直接使用的工具类,您不但可以在 Spring 应用中使用这些工具类,也可以在其它的应用中使用,这些工具类中的大部分是可以在脱离 Spring 框架时使用的。了解 Spring 中有哪些好用的工具类并在程序编写时适当使用,将有助于提高开发效率、增强代码质量。<br />在这个分为两部分的文章中,我们将从众多的 Spring 工具类中遴选出那些好用的工具类介绍给大家。第 1 部分 介绍了与文件资源操作和 W
java sql注入 正则_Java-java程序防止sql注入的方法
05-25
Java程序防止SQL注入的方法有以下几种: 1. PreparedStatement:使用PreparedStatement代替Statement,PreparedStatement使用占位符(?)来表示参数,这样可以有效防止SQL注入攻击。 2. 使用Java的正则表达式对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值