包含通用防sql注入函数java版的词条

发布时间:2022-11-14

本文目录一览:

  1. java防止SQL注入的几个途径
  2. 用java编写防止SQL注入!求java高手指点!问题解决后,一定提高悬赏!
  3. java防止sql注入有哪些方法?
  4. java如何防止sql注入

java防止SQL注入的几个途径

java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构,大部分的SQL注入已经挡住了,在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。

import java.io.IOException;
import java.util.Iterator;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
 * 通过Filter过滤器来防SQL注入攻击
 */
public class SQLFilter implements Filter {
    private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
    protected FilterConfig filterConfig = null;
    /**
     * Should a character encoding specified by the client be ignored?
     */
    protected boolean ignore = true;
    public void init(FilterConfig config) throws ServletException {
        this.filterConfig = config;
        this.inj_str = filterConfig.getInitParameter("keywords");
    }
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        Iterator values = req.getParameterMap().values().iterator(); // 获取所有的表单参数
        while (values.hasNext()) {
            String[] value = (String[]) values.next();
            for (int i = 0; i < value.length; i++) {
                if (sql_inj(value[i])) {
                    // TODO这里发现sql注入代码的业务逻辑代码
                    return;
                }
            }
        }
        chain.doFilter(request, response);
    }
    public boolean sql_inj(String str) {
        String[] inj_stra = inj_str.split("\\|");
        for (int i = 0; i < inj_stra.length; i++) {
            if (str.indexOf(" " + inj_stra[i] + " ") >= 0) {
                return true;
            }
        }
        return false;
    }
}

也可以单独在需要防范SQL注入的JavaBean的字段上过滤:

/**
 * 防止sql注入
 *
 * @param sql
 * @return
 */
public static String TransactSQLInjection(String sql) {
    return sql.replaceAll(".*([';]+|(--)+).*", " ");
}

用java编写防止SQL注入!求java高手指点!问题解决后,一定提高悬赏!

SQL注入无非就是把对单引号和双"-"进行转换。 最好不要拼装SQL语句,以使用参数化的sql或者直接使用存储过程进行数据查询存取。

java防止sql注入有哪些方法?

前台我们可以通过过滤用户输入,后台可以通过PreparedStatement来代替Statement来执行SQL语句。

java如何防止sql注入

采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:

String sql = "select * from users where username=?";
PreparedStatement preState = conn.prepareStatement(sql);
preState.setString(1, userName);
preState.setString(2, password);
ResultSet rs = preState.executeQuery();
推荐文章