Java防止SQL注入的几个途径

最新推荐文章于 2024-06-14 10:54:25 发布
最新推荐文章于 2024-06-14 10:54:25 发布
阅读量356 收藏 1
点赞数
分类专栏: 数据库 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangzhao100110/article/details/84301662
版权

转载:http://www.51testing.com/html/03/n-805503.html 

JavaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构,大部分的SQL注入已经挡住了,在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。

 

import java.io.IOException;   import java.util.Iterator;   import javax.servlet.Filter;   import javax.servlet.FilterChain;   import javax.servlet.FilterConfig;   import javax.servlet.ServletException;   import javax.servlet.ServletRequest;   import javax.servlet.ServletResponse;   import javax.servlet.http.HttpServletRequest;   import javax.servlet.http.HttpServletResponse;   /**  * 通过Filter过滤器来防SQL注入攻击  *  */  public class SQLFilter implements Filter {   private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,";   protected FilterConfig filterConfig = null;   /**  * Should a character encoding specified by the client be ignored?  */  protected boolean ignore = true;   public void init(FilterConfig config) throws ServletException {   this.filterConfig = config;   this.inj_str = filterConfig.getInitParameter("keywords");   }   public void doFilter(ServletRequest request, ServletResponse response,   FilterChain chain) throws IOException, ServletException {   HttpServletRequest req = (HttpServletRequest)request;   HttpServletResponse res = (HttpServletResponse)response;   Iterator values = req.getParameterMap().values().iterator();//获取所有的表单参数  while(values.hasNext()){   String[] value = (String[])values.next();   for(int i = 0;i < value.length;i++){   if(sql_inj(value[i])){   //TODO这里发现sql注入代码的业务逻辑代码  return;   }   }   }   chain.doFilter(request, response);   }   public boolean sql_inj(String str)   {   String[] inj_stra=inj_str.split("\\|");   for (int i=0 ; i < inj_stra.length ; i++ )   {   if (str.indexOf(" "+inj_stra[i]+" ")>=0)   {   return true;   }   }   return false;   }   }

 

  也可以单独在需要防范SQL注入的JavaBean的字段上过滤:

 

/**  * 防止sql注入  *  * @param sql  * @return  */  public static String TransactSQLInjection(String sql) {   return sql.replaceAll(".*([';]+|(--)+).*"" ");   }
zhangzhao100110
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
java防止sql注入
孔子说
09-08 2028
SQL 注入简介:          SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:          比如在一个登陆界面,要求用户输入用户名和密码:          用户名:       or 1=1 --             密       码
java如何预防sql注入
最新发布
weixin_45653478的博客
06-14 323
/ 构建SQL查询语句,注意这里存在SQL注入风险System.out.println("sql语句为:" + sql);
Java防止SQL注入
wl_ldy的专栏
02-03 3532
1. 定义: 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 2. 防止SQL注入的方法: A:使用PreparedStatement代替Statement    1)使用PreparedStatement 比Statement的代码的可读性和可维护性更好.    2)PreparedStatem
自己动手编写SQL注入漏洞扫描工具
02-20
编写SQL注入扫描工具,我们需要关注以下几个关键点: 1. **目标识别**:确定要扫描的目标网站或Web应用,收集其URL结构和可能的输入点。 2. **数据构造**:创建一系列测试用例,包括常见的注入字符串,如`' OR 1=1...
防范SQL注入漏洞的有效途径
什么是SQL注入漏洞 SQL注入漏洞是一种常见的Web应用程序安全漏洞,允许恶意用户执行未经授权的SQL查询,修改数据库数据甚至获取敏感信息。在本章中,我们将介绍SQL注入漏洞的定义和原理,以及它可能产生的影响和...
数据库连接池的安全性:防止SQL注入和数据泄露,保护数据安全
![数据库连接池的安全性:防止SQL注入和数据泄露,保护数据安全]...%5B%5D%28https%3A%2F%2Fp3-juejin.byteimg.com%2
java(or jsp)防sql注入
志当存高远
06-08 3416
1.使用prepareStatemenet2.使用正则表达式表达式一:Regex   knownBad   =   new   Regex(@"^?;/;/--|d(?:elete/sfrom|rop/stable)|insert/sintols(?:elect/s/*|p_)|union/sselect|xp_$");表达式二:      检测SQL   meta-characters的正则
java过滤器防sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
SQL注入过滤 (Java版)
11-17
SQL 安全注入漏洞过滤器类 Java实现 Java类实现,以及配置文件web.xml
sql注入Java过滤器
11-10
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
java中防sql注入_Java防止SQL注入
weixin_42461108的博客
02-27 131
Java防止SQL注入SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:比如在一个登陆界面,要求用户输入用户名和密码:用户名: ' or 1=1 --密 码:点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:String sql="select ...
Java 如何防止sql注入
开发猫
10-20 9345
java 如何防止sql注入 SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是因为程序员没有做好判断,被不法用户钻了SQL的空子,这里结合网上资料,给出java如何防止收起来注入的方法。 java 方法/步骤 1 javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用Prep...
Nginx 防止SQL注入、XSS攻击的实践配置方法
justlpf的专栏
01-03 2147
参考文章:Nginx 防止SQL注入、XSS攻击的实践配置方法 将下面的Nginx配置文件代码放入到对应站点的.conf配置文件[server]里,然后重启Nginx即可生效。 if ($request_method !~* GET|POST) { return 444; } #使用444错误代码可以更加减轻服务器负载压力。 #防止SQL注入 if ($query_string ~*...
javasql注入 策略_Java防止SQL注入
weixin_42512012的博客
02-17 310
SQL 注入簡介: SQL注入是最常見的攻擊方式之一,它不是利用操作系統或其它系統的漏洞來實現攻擊的,而是程序員因為沒有做好判斷,被不法用戶鑽了SQL的空子,下面我們先來看下什么是SQL注入:比如在一個登陸界面,要求用戶輸入用戶名和密碼:用戶名: ' or 1=1 --密 碼:點登陸,如若沒有做特殊處理,而只是一條帶條件的查詢語句如:String sql="selec...
java防止SQL注入几个途径
热门推荐
ye1992的专栏
02-17 2万+
javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQ
Java JDBC数据库编程入门指南
2. **创建Statement或PreparedStatement**:连接建立后,可以创建Statement对象用于执行静态SQL语句,或者创建PreparedStatement对象用于执行预编译的SQL语句,这有助于提高性能并防止SQL注入。 3. **执行SQL**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值