Java如何避免sql注入详解

最新推荐文章于 2024-08-02 19:57:04 发布
最新推荐文章于 2024-08-02 19:57:04 发布
阅读量9k 收藏 8
点赞数 3
分类专栏: java 数据库 文章标签: sql java mybatis 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47390965/article/details/122448362
版权

sql注入是web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息、利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。

造成sql注入的原因:

程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL脚本,程序在接收后错误的将攻击者的输入作为SQL语句的一部分执行,导致原始的查询逻辑被改变,执行了攻击者精心构造的恶意SQL语句。

如从用户表根据用户名admin和密码123查用户信息

select * from User where username = 'admin' and password = '123'

攻击者恶意修改用户名参数 admin-->xxxx or 1=1 --

select * from user where username = 'xxxx' or 1=1 --and password = '123'

SQL中--是注释标记,如果上面这个SQL被执行,就可以让攻击者在不知道任何用户名和密码的情况下成功登录。所以,防止sql注入至关重要

预防sql注入方法:

  • 严格限制Web应用的数据库的操作权限,给连接数据库的用户提供满足需要的最低权限,最大限度的减少注入攻击对数据库的危害
  • 对进入数据库的特殊字符进行转义处理,或编码转换
  • 校验参数的数据格式是否合法(可以使用正则或特殊字符的判断)
  • 预编译SQL (Java中使用PreparedStatement),参数化查询方式,避免SQL拼接
  • 使用mybatis的"#{}“预编译,将传入的值按照字符串的形式进行处理
  • 发布前,利用工具进行SQL注入检测
  • 报错信息不要包含SQL信息输出到 Web 页面
UnIQUE Eason
关注
专栏目录
java sql注入正则表达式_Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法...
weixin_36074841的博客
02-24 606
我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的止办法。其实对于其他的,思路基本相似。下面我们先从web应用程序的角度来看一下如何避免sql注入:1、普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句中嵌入另一个Dro...
JavaSQL注入的几个途径
12-14
JavaSQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
javaSQL注入
11-19
javaSQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
javasql注入
孔子说
09-08 2029
SQL 注入简介:          SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:          比如在一个登陆界面,要求用户输入用户名和密码:          用户名:       or 1=1 --             密       码
Javasql注入正则表达式
最新发布
tonysh_zds的博客
08-02 157
/ 使用正则表达式过滤SQL注入关键词。
JavaSQL注入
三千弱水的专栏
09-23 4092
JavaSQL注入 SQL 注入简介:         SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法 用户钻了SQL的空子,下面我们先来看下什么是SQL注入:         比如在一个登陆界面,要求用户输入用户名和密码:         用户名:     ' or 1=1
sql特殊字符转义处理,止注入
lychaox的专栏
09-23 8481
SQL特殊字符转义 应 该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安全问题。网络中有大量讲解 SQL 注入的文章,感兴
SQL注入详解.docx
07-11
### SQL注入详解 #### 一、SQL注入概述 SQL注入是一种常见的网络安全攻击方式,通过将恶意的SQL代码插入到应用程序的输入字段中,利用应用程序的安全漏洞执行非授权操作,如非法获取敏感数据、修改数据库中的数据...
mybatisSQL注入的方法实例详解
08-27
在对应的 Java 文件中,可以使用预编译语句来避免 SQL 注入攻击: ```java public interface UserMapper{ String getNameByUserId(String userId); } ``` 结论 SQL 注入攻击是一种简单的攻击手段,但可以通过...
sql注入java代码
08-13
该文档整理了sql注入java代码,希望对你能有所帮助!
JavaWeb开发SQL、XSS注入
Fiang-As-Dre的博客
07-11 6806
SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 SQL注入攻击实例 比如在一个登录界面,要求输入用户名和密码: 可以这样输入实现免帐号登录: 用户名: ‘or 1 = 1 – 密 码: 点登陆,如若没有做特殊处理,那么这个非法
jsp工程止外部注入_止 jsp被sql注入的五种方法
weixin_39626180的博客
01-27 235
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
javasql注入
byp502955177的博客
04-26 1318
package com.tarena.dingdang.filter;   import java.io.IOException; import java.util.Enumeration;   import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.s
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

UnIQUE Eason

最喜欢你一言不合就打赏的样子了

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值