`

Java防止SQL注入

 
阅读更多
Java防止SQL注入

SQL 注入简介:
        SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法

用户钻了SQL的空子,下面我们先来看下什么是SQL注入:

        比如在一个登陆界面,要求用户输入用户名和密码:

        用户名:     ' or 1=1 --   

        密     码:   

        点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:

        String sql="select * from users where username='"+userName+"' and password='"+password+"' "

        那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

        这是为什么呢?我们来看看这条语句,将用户输入的数据替换后得到这样一条语句:

        select * from users where username='' or 1=1 --' and password=''

        为了更明白些,可以将其复制到SQL分析器中,将会发现,这条语句会将数据库的数据全部读出来,为什么呢?

        很简单,看到条件后面 username='' or 1=1 用户名等于 '' 或 1=1 那么这个条件一定会成功,然后后面加两个-,这意味着

什么?没错,注释,它将后面的语句注释,让他们不起作用,这样就可以顺利的把数据库中的数据读取出来了。

        这还是比较温柔的,如果是执行 
        select * from users where username='' ;DROP Database    (DB Name) --' and password=''

        .......其他的您可以自己想象。。。

        那么我们怎么来处理这种情况呢?下面我以java为列给大家两种简单的方法:

        第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
        String sql= "select * from users where username=? and password=?;
        PreparedStatement preState = conn.prepareStatement(sql);
        preState.setString(1, userName);
        preState.setString(2, password);
        ResultSet rs = preState.executeQuery();
        ...

        第二种是采用正则表达式将包含有 单引号('),分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入
        public static String TransactSQLInjection(String str)
        {
              return str.replaceAll(".*([';]+|(--)+).*", " ");

           // 我认为 应该是return str.replaceAll("([';])+|(--)+","");

        }

        userName=TransactSQLInjection(userName);
        password=TransactSQLInjection(password);

        String sql="select * from users where username='"+userName+"' and password='"+password+"' "
        Statement sta = conn.createStatement();
        ResultSet rs = sta.executeQuery(sql);

分享到:
评论

相关推荐

    Java防止SQL注入的几个途径

    Java 防止 SQL 注入的几个途径 Java 防止 SQL 注入是一个非常重要的安全问题。SQL 注入攻击是黑客最常用的攻击方式之一,它可以让攻击者访问或修改数据库中的敏感信息。因此,防止 SQL 注入是 Java 开发者必须注意...

    java防止SQL注入

    Java 防止 SQL 注入 Java 防止 SQL 注入是一个至关重要的安全问题,SQL 注入攻击是最常见的攻击方式之一,它不是利用操作系统或其他系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了 SQL 的...

    java防sql注入攻击过滤器

    在Java开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意SQL代码来操纵数据库,获取、修改或删除敏感数据。为了防止此类攻击,开发者通常会使用一种称为“SQL注入过滤器”的机制。本篇文章将深入探讨...

    防止sql注入解决方案

    为了防止SQL注入,开发者需要采取一系列的预防措施,确保应用程序的安全性。以下是一些核心的解决方案: 1. **预编译语句(PreparedStatement)**: 题目中提到的预编译语句是防止SQL注入的关键技术。预编译语句在...

    防止sql注入demo

    本示例"防止SQL注入demo"是针对这种威胁的一种防御措施,主要关注Java环境下的解决方案。下面我们将深入探讨SQL注入的基本原理、为何需要防止以及如何在Java中实现过滤器(Filter)来防止此类攻击。 1. SQL注入基础...

    java防止sql注入.pdf

    在Java编程中,防止SQL注入是一项至关重要的安全措施。SQL注入是黑客利用应用程序不恰当处理用户输入的SQL语句,从而执行恶意SQL命令的一种攻击方式。这种攻击可能导致数据泄露、数据库破坏甚至整个系统的瘫痪。以下...

    java过滤器防sql注入

    外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!...外网可能会被攻击,简单的处理可以避免!...

    mybatis如何防止SQL注入

    ### MyBatis如何防止SQL注入 #### SQL注入简介与危害 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过提交恶意的SQL代码到应用程序的输入字段中(如表单、URL等),利用这些输入来操控数据库执行非预期的...

    防sql注入和xss攻击, springmv拦截器

    防sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符

    SQL注入过滤 (Java版)

    为了防止这种情况发生,开发者需要在应用程序中实施有效的防御策略,其中一种方法就是使用过滤器(Filter)进行SQL注入的过滤。本篇将详细探讨Java环境下如何实现一个SQL注入过滤器,并结合`web.xml`配置文件来部署...

    SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)

    防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...

    sql注入Java过滤器

    配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符

    Java面试题解析之判断以及防止SQL注入

    Java防止SQL注入是目前软件开发中非常重要的一个安全问题,SQL注入攻击是目前黑客最常用的攻击手段,它的原理是利用数据库对特殊标识符的解析强行从页面向后台传入,改变SQL语句结构,达到扩展权限、创建高等级用户...

    防止sql注入的java代码

    ### 防止SQL注入的Java代码解析 #### 概述 在Web应用程序开发中,SQL注入是一种常见的安全攻击方式,攻击者通过篡改输入数据,插入恶意SQL语句,以此来操纵数据库执行非预期的操作。为了提升系统的安全性,开发者...

    java web Xss及sql注入过滤器.zip

    2. **SQL注入防护**:项目可能使用了Spring Data JPA、JdbcTemplate或MyBatis等持久层技术,这些库提供了防止SQL注入的功能。例如,通过使用参数化的`query()`或`update()`方法,可以确保即使输入含有恶意SQL片段,...

    防止sql注入的url过滤器【java filter】

    为了解决这一问题,我们可以利用Java的Filter机制来创建一个防止SQL注入的URL过滤器。下面将详细介绍这个过滤器的工作原理、配置方法以及如何有效地防止SQL注入。 首先,我们需要理解SQL注入的基本概念。SQL注入是...

    基于ESAPI的防sql注入jar包及使用示例.rar

    本篇文章将详细介绍如何使用ESAPI来防止SQL注入,并提供相关示例。 **ESAPI(Enterprise Security API)** ESAPI是一个开源的安全库,旨在为Java应用程序提供统一的、易于使用的安全功能。它由OWASP(开放网络应用...

    jsp 防止sql注入的方法

    网站开发中最重要的就是安全问题,本资源是本人应用中总结出来的防止sql注入的方法

    java 过滤器filter防sql注入的实现代码

    本文将详细介绍如何使用Java Filter实现防止SQL注入的功能。 首先,我们需要创建一个实现了`javax.servlet.Filter`接口的类,例如名为`XSSFilter`。这个类将负责拦截请求并处理可能存在的SQL注入风险。下面是一个...

Global site tag (gtag.js) - Google Analytics