java sql注入 正则_java使用正则表达式过滤sql注入

最新推荐文章于 2024-08-02 19:57:04 发布
最新推荐文章于 2024-08-02 19:57:04 发布
阅读量2.1k 收藏
点赞数
文章标签: java sql注入 正则
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42503660/article/details/114349605
版权

现有项目有大量的后台查询没有使用预处理,所以前台必须使用过滤器对参数做过滤以防止sql注入。

原有方法,使用字符检索过滤:

private boolean isValid(String p) {

p = p.toUpperCase();

if (p.indexOf("DELETE") >= 0 || p.indexOf("ASCII") >= 0

|| p.indexOf("UPDATE") >= 0 || p.indexOf("SELECT") >= 0

|| p.indexOf("'") >= 0 || p.indexOf("SUBSTR(") >= 0

|| p.indexOf("COUNT(") >= 0 || p.indexOf(" OR ") >= 0

|| p.indexOf(" AND ") >= 0 || p.indexOf("DROP") >= 0

|| p.indexOf("EXECUTE") >= 0 || p.indexOf("EXEC") >= 0

|| p.indexOf("TRUNCATE") >= 0 || p.indexOf("INTO") >= 0

|| p.indexOf("DECLARE") >= 0 || p.indexOf("MASTER") >= 0

) {

logger.error("未能通过过滤器:p=" + p);

return false;

}

return true;

}

缺点,对于 UPDATEOK,BORD 这样的参数也会被过滤掉,对于/**/ 或者 /**ABC*/就很难做出判定了。

使用正则表达式过滤:

//过滤 ‘

//ORACLE 注解 -- /**/

//关键字过滤 update ,delete

static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"

+ "(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";

static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);

/***************************************************************************

* 参数校验

*

* @param str

*/

public static void isValid(String str) {

if (sqlPattern.matcher(str).find()) {

logger.error("未能通过过滤器:p=" + p);

return false;

}

return true;

}

最后要注意的是对参数做匹配之前,先要做下decode处理:

String qurystr = req.getQueryString()==null?"": req.getQueryString();

if (!qurystr.equals("")) {

try {

qurystr = java.net.URLDecoder.decode(qurystr);

} catch (Exception e1) {

qurystr = httpReq.getRequestURI();

}

}

恶魔公子维吉尔
关注
java防止sql注入方正_有效防止SQL注入的5种方法总结
weixin_39517357的博客
02-27 1124
sql注入入门SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。演示下经典的SQL注入我们看到:select id,no from user where id=2;如果该语句是通过sql字符串拼接得到的,比如: String sql...
SQL注入正则表达式的方法(菜鸟级可用)
adpt74924的博客
09-28 7517
首先了解一下什么是SQL注入(网络找的) SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。 但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要...
Java防止sql注入正则表达式
最新发布
tonysh_zds的博客
08-02 163
/ 使用正则表达式过滤SQL注入关键词。
java开发Sql注入检测正则表达式
s380203593的博客
06-18 2260
sql拼装过程中有时候需要把特殊外部的参数拼装到sql语句中去,若不检测外部传入的参数是否含有sql关键词,黑客利用系统这个漏洞注入sql脚本语句进行数据库删除或盗取数据资料。 sql非法注入检测正则表达式 \b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|decl...
jsp工程防止外部注入_防止 jsp被sql注入的五种方法
weixin_39626180的博客
01-27 235
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法
热门推荐
曹胜欢
11-05 2万+
在前面的博客中,我们详细介绍了:        sql注入攻击详解(二)sql注入过程详解         sql注入攻击详解(一)sql注入原理详解        我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和防范sql注入,由于本人主要是搞java web开发的小程序员,所以这里我只讲一下有关于java w
【SQL-正则】利用正则表达式进行过滤操作(常用正则表达式
weixin_53543905的博客
07-05 2772
49、验证用户密码(正确格式为 以字母开头,长度在5~17 之间,只能包含字符、数字和下划线)48、只能输入由数字和26个英文字母或者下划线组成的字符串。52、只含有汉字、数字、字母、下划线不能以下划线开头和结尾。53、只含有汉字、数字、字母、下划线,下划线位置不限。16、由数字、26个英文字母或者下划线组成的字符串。1、由数字、26个英文字母或者下划线组成的字符串。47、只能输入由数字和26个英文字母组成的字符串。13、由26个英文字母的大写组成的字符串。14、由26个英文字母的小写组成的字符串。
java sql注入正则表达式_Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法...
weixin_36074841的博客
02-24 608
我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和防范sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的防止办法。其实对于其他的,思路基本相似。下面我们先从web应用程序的角度来看一下如何避免sql注入:1、普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句中嵌入另一个Dro...
SQL 正则表达式及mybatis中使用正则表达式
12-13
mysql 提供的模式匹配的其他类型是使用扩展正则表达式。 当你对这类模式进行匹配测试时,使用REGEXP和NOT REGEXP操作符(或RLIKE和NOT RLIKE,它们是同义词)。 扩展正则表达式的一些字符是: “.”匹配任何单个的...
java sql注入 正则_Java-java程序防止sql注入的方法
05-25
2. 使用Java正则表达式对用户输入进行验证,只允许输入符合格式的字符串,例如只允许输入数字、字母、下划线等,不允许输入特殊字符等。 3. 使用数据库的存储过程,存储过程中的参数都是预编译好的,不会出现SQL...
PHP防止SQL注入与几种正则表达式讲解
12-15
注入漏洞代码和分析  代码如下: <?php function customerror($errno, $errstr, $errfile, $errline) { echo <b>error number:</b> [$errno],error on line $errline in $errfile ; die(); } set...
SQL注入正则表达式
weixin_45634365的博客
02-17 4559
SQL注入SQL注入攻击的本质,就是把用户输入的数据当做代码执行。 这里有两个关键的条件: 1、用户能够控制输入 2、原本程序要执行的代码,拼接了用户输入的数据然后进行执行 1998年一名叫做rfp的黑客发表了一篇关于SQL注入的文章 首先查看登录处理代码: <meta charset='utf-8'> <?php @$username = $_REQUEST['username']; #用户名 @$password = $_REQUEST['password']; #密码 $conn
java sql注入 正则表达式_sql注入之 update/insert/delete篇
weixin_39772420的博客
02-24 1135
1.(简单又有效的方法)PreparedStatement采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。使用好处:(1).代码的可读性和可维护性.(2).PreparedStatement尽最大可能提高性能.(3).最重要的一点是极大地提高了安全性.原理:sql注入只对sql语句的准备(编译)过程有破坏作用而PreparedStatement已经准备好了,执...
SQL - 使用正则对数据进行过滤
一码平川的博客
08-31 3027
1、基本字符匹配 数据库使用正则进行过滤,写法与like语句非常相似,只需将‘like’关键字改为‘regexp’即可。我们先来看一个最简单的正则匹配: select * from mostimes where name regexp '666' 分析:这条sql语句表达是字段中包含‘666’即为匹配对象。 正则也可以像like语句那样任意匹配一个字符: select * from mostimes where name regexp '.66' 分析:这里使用正则表达式‘.66’,‘.’是正则表达式
SQL注入基础五--PHP正则表达式
qq_41759633的博客
08-04 566
什么是正则表达式 正则表达式又称规则表达式。(在代码中常简写为regex.regexp或RE),计算机科学的一个概念。正则表达式通常被用来检索。替换那些符合某个规则的文本。 正则表达式的特点是: 灵活性、逻辑性和功能性非常强; 可以迅速地用极简单的方式达到字符串的复制控制; 对于刚接触的人来说,比较难懂 正则表达式的用途: 判断字符串是否合某一规则(判断是否合手机号、邮箱规则) 从一个字...
SQL-正则表达式
好好学习 天天向上
07-16 2322
正则表达式的用法非常灵活,可以根据具体的需求来选择合适的字符、特殊字符、量词、分组等来构建匹配规则。同时,正则表达式还支持一些高级的特性,如贪婪模式、非贪婪模式、修饰符等,可以进一步扩展正则表达式的功能。正则表达式的详细用法还有很多,可以根据具体的需求来选择合适的正则表达式和相应的函数来进行操作。:引用前面的分组,用于匹配相同的内容。:匹配前一个字符至少n次,最多m次。:匹配前一个字符0次或多次。:匹配前一个字符1次或多次。:匹配前一个字符0次或1次。:匹配前一个字符恰好n次。:匹配前一个字符至少n次。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值