Java防止SQL注入

最新推荐文章于 2024-05-15 09:16:44 发布
最新推荐文章于 2024-05-15 09:16:44 发布
阅读量3.4k 收藏 7
点赞数
文章标签: sql java string filter insert delete

1. 定义:

所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。


2. 防止SQL注入的方法:

A:使用PreparedStatement代替Statement

   1)使用PreparedStatement 比Statement的代码的可读性和可维护性更好.
   2)PreparedStatement尽最大可能提高性能.
   3)最重要的一点是PreparedStatement极大地提高系统的安全性.

 sql="select * from admin where username=? and password=?";
 PreparedStatement psmt= con.prepareStatement(sql);
 psmt.setString(1,username);
 psmt.setString(2,password);
 ResultSet rs = psmt.executeQuery();
 if(rs.next){
 rs.close();
 con.close();
 return false;
 }
 else{
 rs.close();
 con.close();
 return true;
 }

B: 使用字符串过滤

public static String filterContent(String content){
   String flt ="'|and|exec|insert|select|delete|update|count|*|%                   

|chr|mid|master|truncate|char|declare|;|or|-|+|,";
   Stringfilter[] = flt.split("|");
 for(int i=0;i<filter.length ; i++)
    {
      content.replace(filter[i], "");
    }
     return content;
  }
或者使用Filter来过滤全局的表单参数。



wl_ldy
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Nginx 防止SQL注入、XSS攻击的实践配置方法
justlpf的专栏
01-03 2101
参考文章:Nginx 防止SQL注入、XSS攻击的实践配置方法 将下面的Nginx配置文件代码放入到对应站点的.conf配置文件[server]里,然后重启Nginx即可生效。 if ($request_method !~* GET|POST) { return 444; } #使用444错误代码可以更加减轻服务器负载压力。 #防止SQL注入 if ($query_string ~*...
Java代码审计之SQL注入
tpaer的博客
12-05 2346
复现了Java中JDBC及Mybatis框架采用预编译和非预编译时可能存在SQL注入的几种情况,并给予修复建议。
Java项目防止SQL注入的四种方案
最新发布
Wewe的博客
05-15 339
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列。
java sql注入例子
nyhyn的专栏
04-14 4854
我着重强调几点:1、默认Statement和PreparedStatement,每次只能执行一条sql,对应mysql可以通过增加url参数&amp;allowMultiQueries=true解决。2、mysql的注释,可以用#、"-- ",多行注释/* */。若使用"-- ",注意后面要有一个空格3、mysql的驱动已经修改为com.mysql.cj.jdbc.Driver,英文意思是之前的已...
java sql注入_java程序中sql注入分析及优化方案
weixin_35757732的博客
02-12 920
先来看看百度百科的解释:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密...
Java防止SQL注入的一些途径
主题模板站的博客
01-31 2218
javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。35 //TODO这里发现sql注入代码的业务逻辑代码。
Java 如何防止sql注入
开发猫
10-20 9326
java 如何防止sql注入 SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是因为程序员没有做好判断,被不法用户钻了SQL的空子,这里结合网上资料,给出java如何防止收起来注入的方法。 java 方法/步骤 1 javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用Prep...
java防止SQL注入
11-19
Java 防止 SQL 注入 Java 防止 SQL 注入是一个至关重要的安全问题,SQL 注入攻击是最常见的攻击方式之一,它不是利用操作系统或其他系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了 SQL 的...
Java防止SQL注入的几个途径
12-14
Java 防止 SQL 注入的几个途径 Java 防止 SQL 注入是一个非常重要的安全问题。SQL 注入攻击是黑客最常用的攻击方式之一,它可以让攻击者访问或修改数据库中的敏感信息。因此,防止 SQL 注入是 Java 开发者必须注意...
java防止sql注入.pdf
12-09
Java编程中,防止SQL注入是一项至关重要的安全措施。SQL注入是黑客利用应用程序不恰当处理用户输入的SQL语句,从而执行恶意SQL命令的一种攻击方式。这种攻击可能导致数据泄露、数据库破坏甚至整个系统的瘫痪。以下...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
java 过滤器filtersql注入的实现代码
09-01
本文将详细介绍如何使用Java Filter实现防止SQL注入的功能。 首先,我们需要创建一个实现了`javax.servlet.Filter`接口的类,例如名为`XSSFilter`。这个类将负责拦截请求并处理可能存在的SQL注入风险。下面是一个...
简单的防止SQL注入java方法
Mr.薛的博客
11-05 5646
public class SQLFilter { /** * SQL注入过滤 * @param str 待验证的字符串 */ public static String sqlInject(String str){ if(StringUtils.isBlank(str)){ return null; ...
java springboot 表单防xss注入
Will_Pass的博客
03-10 362
直接干货不费事 在线求赞! <!--java soup 过滤xss字段--> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> &l...
javasql注入 策略_Java防止SQL注入
weixin_42512012的博客
02-17 304
SQL 注入簡介: SQL注入是最常見的攻擊方式之一,它不是利用操作系統或其它系統的漏洞來實現攻擊的,而是程序員因為沒有做好判斷,被不法用戶鑽了SQL的空子,下面我們先來看下什么是SQL注入:比如在一個登陸界面,要求用戶輸入用戶名和密碼:用戶名: ' or 1=1 --密 碼:點登陸,如若沒有做特殊處理,而只是一條帶條件的查詢語句如:String sql="selec...
javasql注入sql语句拼接工具sqlHandle
o1587790525的专栏
11-18 6508
我在做网站的时候有一个需要在不同的插入时间改变查询的逻辑结构,这个时候用PreparedStatement就不太适合了灵活性太差。所以我就写了一个sql拼接工具。它的原理是将sql语句段与值绑定在一起,然后在最后拼接的时候把值按顺序传人给PreparedStatement。这样我们任意拼接我们的sql语句还可以防止sql注入的困扰。
java防止sql注入过滤器
peter_qyq的博客
04-11 6808
普通的列表模糊查询,可能会被sql注入利用,造成数据泄漏,严重的甚至导致删表删库! 貌似正常的sql语句 SELECT*FROMtblStudentWHEREunit_namelike'%aaa%'orderbycreate_timedesclimit 0, 30 ; 倘若想要借此进行sql注入,input输入框中输入aaa%' or '1%'= '1,...
java 防止sql注入
09-19
Java中有几种方法可以防止SQL注入。一种常见的方法是使用PreparedStatement。PreparedStatement是预编译的SQL语句,可以在执行之前将输入参数作为参数绑定到SQL语句中,而不是将输入参数直接拼接到SQL语句中。这样可以有效地防止SQL注入攻击。 另一种方法是使用框架中的特定功能来防止SQL注入。比如在MyBatis中,可以使用#{}表达式来代替直接拼接参数值到SQL语句中。这种方式类似于PreparedStatement,能够对参数进行预编译处理,从而避免SQL注入攻击。 此外,还可以通过对请求参数进行敏感词汇过滤来防止SQL注入。在接收到用户输入的参数之后,可以对参数值进行过滤,排除其中的敏感词汇,从而减少SQL注入的风险。 总之,通过使用PreparedStatement、特定框架的防注入功能以及对参数进行敏感词汇过滤,可以有效地防止SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值