java
防SQL注入
,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement
来代替Statement来
执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,
大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入
比如用Filter来过滤全局的表单参数
01
|
import
java.io.IOException;
|
02
|
import
java.util.Iterator;
|
03
|
import
javax.servlet.Filter;
|
04
|
import
javax.servlet.FilterChain;
|
05
|
import
javax.servlet.FilterConfig;
|
06
|
import
javax.servlet.ServletException;
|
07
|
import
javax.servlet.ServletRequest;
|
08
|
import
javax.servlet.ServletResponse;
|
09
|
import
javax.servlet.http.HttpServletRequest;
|
10
|
import
javax.servlet.http.HttpServletResponse;
|
12
|
* 通过Filter过滤器来防SQL注入攻击
|
15
|
public
class
SQLFilter
implements
Filter {
|
16
|
private
String inj_str =
"'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,"
;
|
17
|
protected
FilterConfig filterConfig =
null
;
|
19
|
* Should a character encoding specified by the client be ignored?
|
21
|
protected
boolean
ignore =
true
;
|
22
|
public
void
init(FilterConfig config)
throws
ServletException {
|
23
|
this
.filterConfig = config;
|
24
|
this
.inj_str = filterConfig.getInitParameter(
"keywords"
);
|
26
|
public
void
doFilter(ServletRequest request, ServletResponse response,
|
27
|
FilterChain chain)
throws
IOException, ServletException {
|
28
|
HttpServletRequest req = (HttpServletRequest)request;
|
29
|
HttpServletResponse res = (HttpServletResponse)response;
|
30
|
Iterator values = req.getParameterMap().values().iterator();
|
31
|
while
(values.hasNext()){
|
32
|
String[] value = (String[])values.next();
|
33
|
for
(
int
i =
0
;i < value.length;i++){
|
34
|
if
(sql_inj(value[i])){
|
40
|
chain.doFilter(request, response);
|
42
|
public
boolean
sql_inj(String str)
|
44
|
String[] inj_stra=inj_str.split(
"\\|"
);
|
45
|
for
(
int
i=
0
; i < inj_stra.length ; i++ )
|
47
|
if
(str.indexOf(
" "
+inj_stra[i]+
" "
)>=
0
)
|
也可以单独在需要防范SQL注入
的JavaBean的字段上过滤:
7
|
public
static
String TransactSQLInjection(String sql) {
|
8
|
return
sql.replaceAll(
".*([';]+|(--)+).*"
,
" "
);
|
分享到:
相关推荐
Java 防止 SQL 注入的几个途径 Java 防止 SQL 注入是一个非常重要的安全问题。SQL 注入攻击是黑客最常用的攻击方式之一,它可以让攻击者访问或修改数据库中的敏感信息。因此,防止 SQL 注入是 Java 开发者必须注意...
Java 防止 SQL 注入 Java 防止 SQL 注入是一个至关重要的安全问题,SQL 注入攻击是最常见的攻击方式之一,它不是利用操作系统或其他系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了 SQL 的...
在Java开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意SQL代码来操纵数据库,获取、修改或删除敏感数据。为了防止此类攻击,开发者通常会使用一种称为“SQL注入过滤器”的机制。本篇文章将深入探讨...
为了防止SQL注入,开发者需要采取一系列的预防措施,确保应用程序的安全性。以下是一些核心的解决方案: 1. **预编译语句(PreparedStatement)**: 题目中提到的预编译语句是防止SQL注入的关键技术。预编译语句在...
#### MyBatis防止SQL注入的方法 ##### 1. 使用预编译语句(PreparedStatement) MyBatis内部使用了JDBC的PreparedStatement来实现SQL语句的预编译。这种方式可以有效防止SQL注入。具体做法是在SQL语句中使用`#{}`来...
- 使用预编译语句(PreparedStatement):这是防止SQL注入最常用的方法。预编译语句会将用户输入与SQL语句分离,确保即使输入含有恶意代码,也不会被执行。例如: ```java String query = "SELECT * FROM users ...
为了防止这种情况发生,开发者需要在应用程序中实施有效的防御策略,其中一种方法就是使用过滤器(Filter)进行SQL注入的过滤。本篇将详细探讨Java环境下如何实现一个SQL注入过滤器,并结合`web.xml`配置文件来部署...
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!...外网可能会被攻击,简单的处理可以避免!...
网站开发中最重要的就是安全问题,本资源是本人应用中总结出来的防止sql注入的方法
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
在Java编程中,防止SQL注入是一项至关重要的安全措施。SQL注入是黑客利用应用程序不恰当处理用户输入的SQL语句,从而执行恶意SQL命令的一种攻击方式。这种攻击可能导致数据泄露、数据库破坏甚至整个系统的瘫痪。以下...
### 防止SQL注入的Java代码解析 #### 概述 在Web应用程序开发中,SQL注入是一种常见的安全攻击方式,攻击者通过篡改输入数据,插入恶意SQL语句,以此来操纵数据库执行非预期的操作。为了提升系统的安全性,开发者...
2. **SQL注入防护**:项目可能使用了Spring Data JPA、JdbcTemplate或MyBatis等持久层技术,这些库提供了防止SQL注入的功能。例如,通过使用参数化的`query()`或`update()`方法,可以确保即使输入含有恶意SQL片段,...
为了解决这一问题,我们可以利用Java的Filter机制来创建一个防止SQL注入的URL过滤器。下面将详细介绍这个过滤器的工作原理、配置方法以及如何有效地防止SQL注入。 首先,我们需要理解SQL注入的基本概念。SQL注入是...
本篇文章将详细介绍如何使用ESAPI来防止SQL注入,并提供相关示例。 **ESAPI(Enterprise Security API)** ESAPI是一个开源的安全库,旨在为Java应用程序提供统一的、易于使用的安全功能。它由OWASP(开放网络应用...
总的来说,防止SQL注入和XSS攻击是Web开发中的基础安全措施。通过理解这些攻击方式的工作原理,并在代码中实施相应的防护机制,我们可以大大降低系统被攻击的风险,保障用户数据的安全。记住,安全不是一次性的任务...
在本篇文章中,我们将分析一个用于JAVA中的防止SQL注入攻击的类——`StringUtils`,该类包含了用于过滤用户输入以防止SQL注入的功能,并且还提供了一些辅助方法来增强应用的安全性。 #### 二、源代码解析 ##### 1....
防sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符