java sql注入 正则表达式_sql注入之 update/insert/delete篇

最新推荐文章于 2024-09-19 09:53:41 发布
最新推荐文章于 2024-09-19 09:53:41 发布
阅读量1.1k 收藏
点赞数
文章标签: java sql注入 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39772420/article/details/114558001
版权

1.(简单又有效的方法)PreparedStatement

采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。

使用好处:

(1).代码的可读性和可维护性.

(2).PreparedStatement尽最大可能提高性能.

(3).最重要的一点是极大地提高了安全性.

原理:

sql注入只对sql语句的准备(编译)过程有破坏作用

而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,

而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.

2.使用正则表达式过滤传入的参数

要引入的包:

import java.util.regex.*;

正则表达式:

private String CHECKSQL = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;

判断是否匹配:

Pattern.matches(CHECKSQL,targerStr);

下面是具体的正则表达式:

检测SQL meta-characters的正则表达式 :

/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix

修正检测SQL meta-characters的正则表达式 :/((\%3D)|(=))[^\n]*((\%27)|(\’)|(\-\-)|(\%3B)|(:))/i

典型的SQL 注入攻击的正则表达式 :/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

检测SQL注入,UNION查询关键字的正则表达式 :/((\%27)|(\’))union/ix(\%27)|(\’)

检测MS SQL Server SQL注入攻击的正则表达式:

/exec(\s|\+)+(s|x)p\w+/ix

等等…..

3.字符串过滤

比较通用的一个方法:

(||之间的参数可以根据自己程序的需要添加)

public static boolean sql_inj(String str){

String inj_str = "'|and|exec|insert|select|delete|update|

count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";

String inj_stra[] = split(inj_str,"|");

for (int i=0 ; i < inj_stra.length ; i++ ){

if (str.indexOf(inj_stra[i])>=0){

return true;

}

}

return false;

}

4.jsp中调用该函数检查是否包函非法字符

防止SQL从URL注入:

sql_inj.java代码:

package sql_inj;

import java.net.*;

import java.io.*;

import java.sql.*;

import java.text.*;

import java.lang.String;

public class sql_inj{

public static boolean sql_inj(String str){

String inj_str = "'|and|exec|insert|select|delete|update|

count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";

//这里的东西还可以自己添加

String[] inj_stra=inj_str.split("\\|");

for (int i=0 ; i < inj_stra.length ; i++ ){

if (str.indexOf(inj_stra[i])>=0){

return true;

}

}

return false;

}

}

5.JSP页面判断代码:

使用javascript在客户端进行不安全字符屏蔽

功能介绍:检查是否含有”‘”,”\”,”/”

参数说明:要检查的字符串

返回值:0:是1:不是

函数名是

function check(a){

return 1;

fibdn = new Array (”‘” ,”\\”,”/”);

i=fibdn.length;

j=a.length;

for (ii=0; ii<i; ii++)

{ for (jj=0; jj<j; jj++)

{ temp1=a.charAt(jj);

temp2=fibdn[ii];

if (tem’; p1==temp2)

{ return 0; }

}

}

return 1;

}

weixin_39772420
关注
SQL注入正则表达式
weixin_45634365的博客
02-17 4618
SQL注入SQL注入攻击的本质,就是把用户输入的数据当做代码执行。 这里有两个关键的条件: 1、用户能够控制输入 2、原本程序要执行的代码,拼接了用户输入的数据然后进行执行 1998年一名叫做rfp的黑客发表了一关于SQL注入的文章 首先查看登录处理代码: <meta charset='utf-8'> <?php @$username = $_REQUEST['username']; #用户名 @$password = $_REQUEST['password']; #密码 $conn
Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法
热门推荐
曹胜欢
11-05 2万+
在前面的博客中,我们详细介绍了:        sql注入攻击详解(二)sql注入过程详解         sql注入攻击详解(一)sql注入原理详解        我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和防范sql注入,由于本人主要是搞java web开发的小程序员,所以这里我只讲一下有关于java w
正则表达式提取SQL
08-02
NULL 博文链接:https://duanhengbin.iteye.com/blog/1962431
Java防止sql注入正则表达式
tonysh_zds的博客
08-02 215
/ 使用正则表达式过滤SQL注入关键词。
如何在SQL语句中使用正则表达式
最新发布
sorrty00的博客
09-19 582
不同的数据库系统对正则表达式的支持和实现方式有所不同。在MySQL和PostgreSQL中,直接支持正则表达式运算符或函数。而在Oracle中,可以使用函数进行正则匹配。SQL Server对正则表达式的支持较为有限,需要借助CLR或其他外部工具。如果你有特定的数据库系统需求,请根据相应的文档进行详细设置和使用。
java开发Sql注入检测正则表达式
s380203593的博客
06-18 2283
sql拼装过程中有时候需要把特殊外部的参数拼装到sql语句中去,若不检测外部传入的参数是否含有sql关键词,黑客利用系统这个漏洞注入sql脚本语句进行数据库删除或盗取数据资料。 sql非法注入检测正则表达式 \b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|decl...
jsp工程防止外部注入_防止 jsp被sql注入的五种方法
weixin_39626180的博客
01-27 241
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
java sql注入正则表达式_Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法...
weixin_36074841的博客
02-24 629
我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和防范sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的防止办法。其实对于其他的,思路基本相似。下面我们先从web应用程序的角度来看一下如何避免sql注入:1、普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句中嵌入另一个Dro...
java开发中sql注入正则表达式检测
shayukaifa的博客
01-14 1101
sql拼装过程中有时候需要把特殊外部的参数拼装到sql语句中去,若不检测外部传入的参数是否含有sql关键词,黑客利用系统这个漏洞注入sql脚本语句进行数据库删除或盗取数据资料。 sql关键词脚本检查正则表达式 \b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char| Java语言 /** * 是否含有sql注入,返回true表示含有 * @param obj * @retur
golang—SQL注入正则表达式
yan_l博客
04-29 2650
本人水平有限 有些地方写的较为繁琐 仅供参考 十六进制检测没有写全****************************************‘ or 1=1  and 1=1  'a'='a' 类型:*****************************************((\x27|')?\s+(o|O)(r|R)|^(o|O)(r|R))\s+?[[:alnum:]]+\s*(...
JS代码防止SQL注入的方法(超简单)
10-22
具体做法是将URL参数值转换为小写,并通过正则表达式匹配是否存在SQL语句中常见的关键字,例如“select”,“update”,“delete”等。如果匹配到这些非法字符,系统会弹出警告,并清除这些字符,同时将浏览器重定向...
java sql注入 正则_java使用正则表达式过滤sql注入
weixin_42503660的博客
02-19 2152
现有项目有大量的后台查询没有使用预处理,所以前台必须使用过滤器对参数做过滤以防止sql注入。原有方法,使用字符检索过滤:private boolean isValid(String p) {p = p.toUpperCase();if (p.indexOf("DELETE") >= 0 || p.indexOf("ASCII") >= 0|| p.indexOf("UPDATE") &...
java防止sql注入方正_有效防止SQL注入的5种方法总结
weixin_39517357的博客
02-27 1146
sql注入入门SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。演示下经典的SQL注入我们看到:select id,no from user where id=2;如果该语句是通过sql字符串拼接得到的,比如: String sql...
SQL-正则表达式
好好学习 天天向上
07-16 2806
正则表达式的用法非常灵活,可以根据具体的需求来选择合适的字符、特殊字符、量词、分组等来构建匹配规则。同时,正则表达式还支持一些高级的特性,如贪婪模式、非贪婪模式、修饰符等,可以进一步扩展正则表达式的功能。正则表达式的详细用法还有很多,可以根据具体的需求来选择合适的正则表达式和相应的函数来进行操作。:引用前面的分组,用于匹配相同的内容。:匹配前一个字符至少n次,最多m次。:匹配前一个字符0次或多次。:匹配前一个字符1次或多次。:匹配前一个字符0次或1次。:匹配前一个字符恰好n次。:匹配前一个字符至少n次。
java sql注入 正则_Java-java程序防止sql注入的方法
weixin_39580564的博客
02-15 1070
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:String sql= "select * from users where username=? and password=?;PreparedStatement preState = conn.prepareStatement(sql);preState.setString(1, userName...
SQL注入基础五--PHP正则表达式
qq_41759633的博客
08-04 581
什么是正则表达式 正则表达式又称规则表达式。(在代码中常简写为regex.regexp或RE),计算机科学的一个概念。正则表达式通常被用来检索。替换那些符合某个规则的文本。 正则表达式的特点是: 灵活性、逻辑性和功能性非常强; 可以迅速地用极简单的方式达到字符串的复制控制; 对于刚接触的人来说,比较难懂 正则表达式的用途: 判断字符串是否合某一规则(判断是否合手机号、邮箱规则) 从一个字...
正则表达式防止SQL注入
温水中的青蛙
08-20 2743
本来对正则表达式不是很了解,但由于项目需要,项目主要没有采用存储过程方式来存储 SQL语句,所以很有可能被黑客用SQL注入攻击,现在就在网上找了找解决办法,在业务层来过滤SQL语句,防止SQL注入攻击,主要是采用了正则表达式,因为正则表达式对字符串的操作是很强大的.首先用一个Validate()类来封装正则表达式和相关操作:    //验证是否有SQL注入字符    private bool Va
sql正则表达式
wangzai_的博客
02-28 169
sql正则以及常用处理时间函数(来自于SQL必知必会)
javasql注入正则表达式
12-16
以下是两个Java防止SQL注入正则表达式: 1. 引用中的正则表达式: ```java private static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|" + "(\\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)"; private static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE); private boolean isValid(String str) { if (sqlPattern.matcher(str).find()) { logger.error("未能通过过滤器:str=" + str); return false; } return true; } ``` 2. 引用中的正则表达式: ```java public static boolean containsSqlInjection(Object obj){ Pattern pattern= Pattern.compile("\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b|(\\*|;|\\+|'|%)"); Matcher matcher=pattern.matcher(obj.toString()); return matcher.find(); } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值