Java防止SQL注入的幾個(gè)途徑

2022-9-24 21:23| 查看: 2332 |來(lái)源: 互聯(lián)網(wǎng)

java防SQL注入,最簡(jiǎn)單的辦法是杜絕SQL拼接,SQL注入攻擊能得逞是因?yàn)樵谠蠸QL語(yǔ)句中加入了新的邏輯，如果使用PreparedStatement來(lái)代替Statement來(lái)執(zhí)行SQL語(yǔ)句，其后只是輸入?yún)?shù)，SQL注入攻擊手段將無(wú)效，這是因?yàn)镻r

java防SQL注入,最簡(jiǎn)單的辦法是杜絕SQL拼接,SQL注入攻擊能得逞是因?yàn)樵谠蠸QL語(yǔ)句中加入了新的邏輯，如果使用PreparedStatement來(lái)代替Statement來(lái)執(zhí)行SQL語(yǔ)句，其后只是輸入?yún)?shù)，SQL注入攻擊手段將無(wú)效，這是因?yàn)镻reparedStatement不允許在不同的插入時(shí)間改變查詢的邏輯結(jié)構(gòu) ,大部分的SQL注入已經(jīng)擋住了, 在WEB層我們可以過(guò)濾用戶的輸入來(lái)防止SQL注入比如用Filter來(lái)過(guò)濾全局的表單參數(shù)
01 import java.io.IOException;
02 import java.util.Iterator;
03 import javax.servlet.Filter;
04 import javax.servlet.FilterChain;
05 import javax.servlet.FilterConfig;
06 import javax.servlet.ServletException;
07 import javax.servlet.ServletRequest;
08 import javax.servlet.ServletResponse;
09 import javax.servlet.http.HttpServletRequest;
10 import javax.servlet.http.HttpServletResponse;
11 /**
12 * 通過(guò)Filter過(guò)濾器來(lái)防SQL注入攻擊
13 *

14 */
15 public class SQLFilter implements Filter {
16 private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,";
17 protected FilterConfig filterConfig = null;
18 /**
19 * Should a character encoding specified by the client be ignored?
20 */
21 protected boolean ignore = true;
22 public void init(FilterConfig config) throws ServletException {
23 this.filterConfig = config;
24 this.inj_str = filterConfig.getInitParameter("keywords");
25 }
26 public void doFilter(ServletRequest request, ServletResponse response,
27 FilterChain chain) throws IOException, ServletException {
28 HttpServletRequest req = (HttpServletRequest)request;
29 HttpServletResponse res = (HttpServletResponse)response;
30 Iterator values = req.getParameterMap().values().iterator();//獲取所有的表單參數(shù)
31 while(values.hasNext()){
32 String[] value = (String[])values.next();
33 for(int i = 0;i < value.length;i++){
34 if(sql_inj(value[i])){
35 //TODO這里發(fā)現(xiàn)sql注入代碼的業(yè)務(wù)邏輯代碼
36 return;
37 }
38 }
39 }
40 chain.doFilter(request, response);
41 }
42 public boolean sql_inj(String str)
43 {
44 String[] inj_stra=inj_str.split("\\|");
45 for (int i=0 ; i < inj_stra.length ; i++ )
46 {
47 if (str.indexOf(" "+inj_stra[i]+" ")>=0)
48 {
49 return true;
50 }
51 }
52 return false;
53 }
54 }

也可以單獨(dú)在需要防范SQL注入的JavaBean的字段上過(guò)濾：
1   /**
2   * 防止sql注入
3   *
4   * @param sql
5   * @return
6   */
7   public static String TransactSQLInjection(String sql) {
8   return sql.replaceAll(".*([';]+|(--)+).*", " ");
9   }

本文最后更新于 2022-9-24 21:23，某些文章具有時(shí)效性，若有錯(cuò)誤或已失效，請(qǐng)?jiān)诰W(wǎng)站留言或聯(lián)系站長(zhǎng)：17tui@17tui.com

·END·

站長(zhǎng)網(wǎng)微信號(hào)：w17tui，關(guān)注站長(zhǎng)、創(chuàng)業(yè)、關(guān)注互聯(lián)網(wǎng)人 - 互聯(lián)網(wǎng)創(chuàng)業(yè)者營(yíng)銷(xiāo)服務(wù)中心

免責(zé)聲明：本站部分文章和圖片均來(lái)自用戶投稿和網(wǎng)絡(luò)收集，旨在傳播知識(shí)，文章和圖片版權(quán)歸原作者及原出處所有，僅供學(xué)習(xí)與參考，請(qǐng)勿用于商業(yè)用途，如果損害了您的權(quán)利，請(qǐng)聯(lián)系我們及時(shí)修正或刪除。謝謝！

下一篇：BYOD需要更具時(shí)效性的網(wǎng)絡(luò)安全防護(hù)策略上一篇：安全策略對(duì)網(wǎng)絡(luò)化設(shè)備管理有用嗎

17站長(zhǎng)網(wǎng)微信二維碼

始終以前瞻性的眼光聚焦站長(zhǎng)、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域，為您提供最新最全的互聯(lián)網(wǎng)資訊，幫助站長(zhǎng)轉(zhuǎn)型升級(jí)，為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營(yíng)銷(xiāo)服務(wù)，與站長(zhǎng)一起進(jìn)步！讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨(dú)！

掃一掃，關(guān)注站長(zhǎng)網(wǎng)微信

青草久久影院-青草久久伊人-青草久久久-青草久久精品亚洲综合专区-SM双性精跪趴灌憋尿调教H-SM脚奴调教丨踩踏贱奴

Java防止SQL注入的幾個(gè)途徑

大家都在看

相關(guān)分類(lèi)

熱門(mén)排行

最近更新