防止SQL注入的方法

最新推荐文章于 2023-06-29 11:52:41 发布
最新推荐文章于 2023-06-29 11:52:41 发布
阅读量468 收藏
点赞数
分类专栏: java web
定义:

所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。


2. 防止SQL注入的方法:

A:使用PreparedStatement代替Statement

   1)使用PreparedStatement 比Statement的代码的可读性和可维护性更好.
   2)PreparedStatement尽最大可能提高性能.
   3)最重要的一点是PreparedStatement极大地提高系统的安全性.

[html]  view plain copy
  1. sql="select * from admin where username=? and password=?";  
  2. PreparedStatement psmtcon.prepareStatement(sql);  
  3. psmt.setString(1,username);  
  4. psmt.setString(2,password);  
  5. ResultSet rs = psmt.executeQuery();  
  6. if(rs.next){  
  7. rs.close();  
  8. con.close();  
  9. return false;  
  10. }  
  11. else{  
  12. rs.close();  
  13. con.close();  
  14. return true;  
  15. }  

B: 使用字符串过滤

[html]  view plain copy
  1. public static String filterContent(String content){  
  2.    String flt ="'|and|exec|insert|select|delete|update|count|*|%                     
  3.   
  4. |chr|mid|master|truncate|char|declare|;|or|-|+|,";  
  5.    Stringfilter[] = flt.split("\\|");  
  6.  for(int i=0;i<filter.length ; i++)  
  7.     {  
  8.       content.replace(filter[i], "");  
  9.     }  
  10.      return content;  
  11.   }  

经验分享: 
1、分隔符为“.”(无输出),“|”(不能得到正确结果)转义字符时,“*”,“+”时出错抛出异常,都必须在前面加必须得加"\\",如split(\\|); 
2、如果用"\"作为分隔,就得写成这样:String.split("\\\\"),因为在Java中是用"\\"来表示"\"的,字符串得写成这样:String Str="a\\b\\c"; 
转义字符,必须得加"\\"; 
3、如果在一个字符串中有多个分隔符,可以用"|"作为连字符,比如:String str="Java string-split#test",可以用Str.split(" |-|#")把每个字符串分开;


或者使用Filter来过滤全局的表单参数。

非常陶醉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何防止sql注入防止sql注入方法介绍
小小博客爱分享
08-18 7302
一、什么叫SQL注入攻击?sql注入简介 SQL注入是较为普遍的互联网攻击方法,它并不是通过电脑操作系统的BUG来完成攻击,而是对于程序编写时的疏漏,利用SQL语句,达到无帐号登录,乃至改动数据库的目的。 SQL注入产生的原因便是:没经查验或是未充分检验的输入数据,出现意外变成了sql代码而被执行。对于SQL注入,则是递交的数据,被数据库系统编译而造成了开发人员预估以外的问题。也就是说,SQL注入是用户的输入信息,在连接SQL语句的过程中,跨越了数据本身,变成了SQL语句逻辑的一部分,随后被拼凑的SQL
PHP中防止SQL注入方法详解
01-20
 如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子: 复制代码 代码如下: $unsafe_variable = $_POST[‘user_input’]; mysql_query(“INSERT ...
防止SQL注入攻击的10种有效方法
最新发布
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
SQL注入的常用方法有哪些呢?方法总结
2301_76418831的博客
05-01 2297
对输入数据进行过滤和验证,确保用户提供的数据符合预期的格式和类型。例如,可以使用正则表达式对输入数据进行验证,确保其只包含允许的字符。这些方法可以将SQL语句和用户提供的输入数据分开处理,从而防止恶意注入SQL代码。这个方法可以将输入数据中的特殊字符转义成其转义字符,从而防止这些字符被误解释为SQL代码。应该为每个用户分配最小的权限,只允许其执行必要的操作,从而降低恶意注入SQL代码的风险。总之,防止SQL注入攻击需要在应用程序设计和开发过程中采取一系列安全措施,保障Web应用程序的安全性。
防止sql注入方法
qq_36031634的博客
09-06 3060
一、SQL注入简介     SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击   三
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6346
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
mybatis防止SQL注入方法实例详解
08-27
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。那么mybatis是如何防止SQL注入的呢?下面脚本之家小编给大家带来了实例代码,需要的朋友参考下吧
有效防止SQL注入的5种方法总结
09-09
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的...下面这篇文章主要给大家介绍了关于防止SQL注入的5种方法,教大家有效的防止sql注入,需要的朋友可以参考学习。
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
浅谈SQL注入的四种防御方法
NLost
04-10 2万+
1.限制数据类型 2.正则表达式匹配传入参数 3.函数过滤转义 4.预编译语句
防止sql注入方法
10-09
应用实例工具:c# 和access演示的。此方法在一定程度上防止sql的注入, 防止'or'='or' 'or''=' 'or ''=' " or "a"="a 此类sql语句在客户端注入
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
Java防止SQL注入的几个途径
12-14
Java防SQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
mysql 自带防注入_MySQL 如何防止sql注入
weixin_31201555的博客
01-19 637
普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句中嵌入另一个Drop Table语句,那么是否允许执行呢?由于Drop语句关系到数据库的基本对象,故要操作这个语句用户必须有相关的权限。在权限设计中,对于终端用户,即应用软件的使用者,没有必要给他们数据库对象的建立、删除等权限。那么即使在他们使用SQL语句中带有嵌入式的恶意代码,由于其用户权限的限制,这些代码也将无法被执行...
【Mysql优化安全】防止sql注入
weixin_44823875的博客
05-20 5898
【Mysql安全】防止sql注入(1)什么是sql注入(2)寻找sql注入方法(3)mybatis是如何做到防止sql注入的(3.1)sql对比(3.2)简单分析(3.3)底层实现原理(3.4)总结#{}和${}的区别(3.5)总结(3.6)如果手工处理“${xxx}”(3)常见的sql注入问题:数据库查询参数的类型转换处理(4)防范sql注入的思路(5)放置sql注入方法 (1)什么是sql注入 (1)概念 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让
防止SQL注入的五种方法
我是一只蘑菇17的博客
12-09 2万+
一、SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。    SQL注入是比...
防止sql注入
weixin_41279532的博客
05-08 221
那么mysql该如何防止sql注入?我们通过以下三种方法进行防治sql注入 1.开启php的魔术模式,,magic_quotes_gpc = on即可,当一些特殊字符出现在网站前端的时候,就会自动进行转化,转化成一些其他符号导致sql语句无法执行。 2.网站代码里写入过滤sql特殊字符的代码,对一些特殊字符进行转化,比如单引号,逗号,*,(括号)AND 1=1 、反斜杠,select union等...
mysql防注入方法_推荐10个防止sql注入方法
weixin_42363662的博客
02-02 625
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 使用方法如下:?123$sql= "select count(*)asctr from users where username='".mysql_real_escape_string($username)."'andpassword='".mysql_real_e...
sql注入常用方法
雨夜青草的博客
09-13 1297
sql注入的原理与应对 sql注入是黑客通过代码注入(前端表单、URL等),攻击数据库的一种手段。简单的说,可以将数据库语句区分成编译前和编译后两种状态,sql注入攻击数据库,只对编译前的sql有作用。 举个栗子:一个校验用户登入的sql语句。 SELECT id,name FROM user where username = 'A' and password = 'B';   其中...
Java 防止SQL注入方法
03-31
使用PreparedStatement代替Statement,PreparedStatement是预编译的SQL语句,可以有效防止SQL注入攻击。 2. 输入校验 对用户输入的数据进行校验,只允许输入合法的数据,过滤掉特殊字符。 3. 使用ORM框架 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值