第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
- String sql= "select* from users where username=?andpassword=?;
- PreparedStatement preState= conn.prepareStatement(sql);
- preState.setString(1, userName);
- preState.setString(2, password);
- ResultSet rs= preState.executeQuery();
第二种是采用正则表达式将包含有 单引号('),分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入
- public static String TransactSQLInjection(String str)
- {
- return str.replaceAll(".*([';]+|(--)+).*","");
- }
- userName=TransactSQLInjection(userName);
- password=TransactSQLInjection(password);
- String sql="select * from users whereusername='"+userName+"' and password='"+password+"' "
- Statement sta= conn.createStatement();
- ResultSet rs= sta.executeQuery(sql);
注:
1。数据库访问用预定义会话PreparedStatement,从根本上防止SQL截断
2。后台过滤,简单的验证数据格式/长度正确,至于过滤/转义各种特殊符号由第一步说的来处理;对于那些必须登录后才能操作的,首先验证session("username")==''or session("userpwd")=='')等条件直接禁止操作
3。前台过滤,对于必要的input输入信息进行格式验证;尤其有对于用户名、密码之类的页面最好设置验证码(防止猜测的注入,减轻服务器压力)
我们一般是用java代码和前台js判断两个结合来防止sql注入java代码这块一般就是PreparedStatement函数,js就是判断页面的输入是否有关键字,然后后台代码部分加一个过滤器,判断每次提交时候的参数里是否有关键字。
永远也不要写这样的代码:
StringqueryString = "from Item i where i.descriptionlike '" + searchString + "'";
Listresult = session.createQuery(queryString).list();
如果用户输入:foo'and callSomeStoredProcedure() and 'bar' ='bar,则你的程序在执行一个简单查询后,还会调用某个存储过程,
这样你的程序就开了一个安全漏洞,如果用户偶尔输入了一个单引号,你的程序就可能报错。
永远也不要把未经检查的用户输入的值直接传给数据库!
幸运的是有一个简单的机制可以避免这种错误:
JDBC在绑定参数时有一个安全机制,它可以准确的将那些需要转义的字符进行转义(escape),
如上面的searchString,它被escape,不再作为一个控制字符了,而是作为被查询的匹配的字符串的一部分。(这里指的是preparedstatement,而是用普通的statment不行,我试过)。
另外,如果我们使用参数绑定,还可以提高数据库的执行效率,preparedstatement语句被编译一次后,被放在cache中,就不再需要编译,可以提高效率。
参数绑定有2种办法:使用positional parameter或者named parameter。
Hibernate支持JDBC样式的positional parameter(查询字符串中使用?),它同使用namedparameter的效果一样(查询字符串中使用:)。
使用named parameter
使用named parameter,我们重新写上面的查询语句:
String queryString = "from Item item where item.description like:searchString";
冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到searchString参数上:
Listresult = session.createQuery(queryString)
.setString("searchString",searchString)
.list();
因为searchString是一个用户输入的字符串,所以我们使用Query的setString()方法进行参数绑定,这样代码更清晰,更安全,效率更好!
如果有多个参数需要被帮定,我们这样处理:
String queryString = "from Item item "
+"where item.description like :searchString "
+"and item.date > :minDate";
List result = session.createQuery(queryString)
.setString("searchString",searchString)
.setDate("minDate",minDate)
.list();
使用positional parameter
如果你喜欢,也可以使用positionalparameter:
String queryString = "from Item item "
+"where item.description like ? "
+"and item.date > ?";
List result = session.createQuery(queryString)
.setString(0,searchString)
.setDate(1,minDate)
.list();
这段代码可读性强不如上面的强,而且可维护性差,如果我们的查询稍微改变一点,将第一个参数和第二个参数改变一下位置:
String queryString = "from Item item "
+"where item.date > ? "
+"and item.description like ?";
这样我们的代码中涉及到位置的地方都要修改,所以我们强烈建议使用namedparameter方式进行参数绑定。
最后,在named parameter中可能有一个参数出现多次的情况,应该怎么处理呢?
String userSearch = "from User u where u.username like:searchString"
+" or u.email like :searchString";
List result = session.createQuery(userSearch)
.setString("searchString",searchString)
.list();
不要使用
为了防止SQL注入,避免使用拼凑SQL语句的方式!!!
在Hibernate+Spring中getHibernateTemplate()返回的对象可以调用find(StringqueryString, Object value...Object value)来实现namedparameter。比如:
- Date startTime = new Date();
- Date endTime = new Date();
- String queryString = "from SdmsRacalertLog as log where" +
- " log.alertTime between :startTime and :endTime";
- return getHibernateTemplate().find(queryString, startTime, endTime);
相关推荐
在使用MyBatis框架开发应用程序时,合理使用参数绑定技术(如`#{}`)以及对动态参数进行有效的过滤处理是防止SQL注入的关键。通过对MyBatis的正确配置和编程实践,可以大大降低应用程序面临的SQL注入风险,确保系统...
在Java开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意SQL代码来操纵数据库,获取、修改或删除敏感数据。为了防止此类攻击,开发者通常会使用一种称为“SQL注入过滤器”的机制。本篇文章将深入探讨...
为了防止SQL注入,开发者需要采取一系列的预防措施,确保应用程序的安全性。以下是一些核心的解决方案: 1. **预编译语句(PreparedStatement)**: 题目中提到的预编译语句是防止SQL注入的关键技术。预编译语句在...
本示例"防止SQL注入demo"是针对这种威胁的一种防御措施,主要关注Java环境下的解决方案。下面我们将深入探讨SQL注入的基本原理、为何需要防止以及如何在Java中实现过滤器(Filter)来防止此类攻击。 1. SQL注入基础...
为了防止这种情况发生,开发者需要在应用程序中实施有效的防御策略,其中一种方法就是使用过滤器(Filter)进行SQL注入的过滤。本篇将详细探讨Java环境下如何实现一个SQL注入过滤器,并结合`web.xml`配置文件来部署...
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
2. **SQL注入防护**:项目可能使用了Spring Data JPA、JdbcTemplate或MyBatis等持久层技术,这些库提供了防止SQL注入的功能。例如,通过使用参数化的`query()`或`update()`方法,可以确保即使输入含有恶意SQL片段,...
### JAVA中防止SQL注入攻击类的源代码解析 #### 一、概述 SQL注入是一种常见的安全漏洞,通过这种攻击方式,攻击者可以在应用程序发送到数据库的SQL语句中插入恶意代码,进而执行非授权操作,如修改数据或窃取敏感...
为了解决这一问题,我们可以利用Java的Filter机制来创建一个防止SQL注入的URL过滤器。下面将详细介绍这个过滤器的工作原理、配置方法以及如何有效地防止SQL注入。 首先,我们需要理解SQL注入的基本概念。SQL注入是...
本篇文章将详细介绍如何使用ESAPI来防止SQL注入,并提供相关示例。 **ESAPI(Enterprise Security API)** ESAPI是一个开源的安全库,旨在为Java应用程序提供统一的、易于使用的安全功能。它由OWASP(开放网络应用...
### 防止SQL注入的Java代码解析 #### 概述 在Web应用程序开发中,SQL注入是一种常见的安全攻击方式,攻击者通过篡改输入数据,插入恶意SQL语句,以此来操纵数据库执行非预期的操作。为了提升系统的安全性,开发者...
在Java编程中,防止SQL注入是一项至关重要的安全措施。SQL注入是黑客利用应用程序不恰当处理用户输入的SQL语句,从而执行恶意SQL命令的一种攻击方式。这种攻击可能导致数据泄露、数据库破坏甚至整个系统的瘫痪。以下...
总的来说,防止SQL注入和XSS攻击是Web开发中的基础安全措施。通过理解这些攻击方式的工作原理,并在代码中实施相应的防护机制,我们可以大大降低系统被攻击的风险,保障用户数据的安全。记住,安全不是一次性的任务...
### 防止SQL注入过滤器配置详解 #### 一、引言 在现代Web应用开发中,安全性一直是至关重要的方面。SQL注入攻击是黑客常用的一种手段,它通过恶意SQL语句来破坏或操纵数据库中的数据。为了保护系统免受此类攻击,...
对于使用Java进行开发的系统,防止SQL注入是至关重要的。以下是几种有效的防止Java应用遭受SQL注入攻击的方法: 1. **使用PreparedStatement**: Java提供了PreparedStatement接口,它是Statement的子类,用于执行...
正确的方法是使用参数化查询,例如预编译的`PreparedStatement`,以防止SQL注入: ```java String sql = "SELECT * FROM users WHERE id=?"; PreparedStatement pstmt = connection.prepareStatement(sql); pstmt....
综上所述,预加载是一种有效的防止SQL注入的安全措施,它通过参数化查询增强了应用程序的安全性,并提高了性能。在实际开发中,应广泛使用预加载来保护数据库免受潜在的SQL注入攻击。在提供的"SqlTest"压缩包中,...
使用预编译的SQL语句(例如PreparedStatement)是防止SQL注入的最佳实践。这种方式将SQL语句与用户输入的数据分离,确保即使用户输入恶意代码,也不会影响到查询结构。例如: ```java String query = "SELECT * ...
`占位符传递参数,这种方式能有效防止SQL注入,因为它会将参数值与SQL语句分开处理。 3. **最小权限原则**:创建并使用具有最小权限的数据库连接,不要让应用使用具有管理员权限的账户。这样即使发生SQL注入,攻击...
下面是一个使用Java的JDBC进行数据库查询的例子,这个例子使用了参数化查询,从而有效防止SQL注入攻击: ```java String user = "your_username"; String pwd = "your_password"; String url = "jdbc:mysql://...