`
wanggp
  • 浏览: 149938 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

JAVA中防止SQL注入(过滤特殊字符方案)

阅读更多

1.页面使用JavaScript过滤SQL注入的特殊字符

<SCRIPT language="JavaScript">    
function Check(theform)    
{    
if (theform.UserName.value=="")    
{    
alert("请输入用户名!")    
theform.UserName.focus();    
return (false);    
}    
if (theform.Password.value == "")    
{    
alert("请输入密码!");    
theform.Password.focus();    
return (false);    
}    
}    
function IsValid( oField )    
{    
re= /select|update|delete|exec|count|'|"|=|;|>|<|%/i;    
$sMsg = "请您不要在参数中输入特殊字符和SQL关键字!"    
if ( re.test(oField.value) )    
{    
alert( $sMsg );    
oField.value = '';    
oField.focus();    
return false;    
}    
}    
</SCRIPT> 

 2.后台服务过来特殊字符

package cn.com.hbivt.util;   
public class StringUtils {   
       //过滤通过页面表单提交的字符   
       private static String[][] FilterChars={{"<","&lt;"},{">","&gt;"},{" ","&nbsp;"},{"\"","&quot;"},{"&","&amp;"},   
                                       {"/","&#47;"},{"\\","&#92;"},{"\n","<br>"}};   
       //过滤通过javascript脚本处理并提交的字符   
       private static String[][] FilterScriptChars={{"\n","\'+\'\\n\'+\'"},   
                                                           {"\r"," "},{"\\","\'+\'\\\\\'+\'"},   
                                                                   {"\'","\'+\'\\\'\'+\'"}};   
  
       /**  
        * 用特殊的字符连接字符串  
        * @param strings 要连接的字符串数组  
        * @param spilit_sign 连接字符  
        * @return 连接字符串  
        */  
       public static String stringConnect(String[] strings,String spilit_sign){   
         String str="";   
         for(int i=0;i<strings.length;i++){   
           str+=strings[i]+spilit_sign;   
         }   
         return str;   
       }   
  
       /**  
        * 过滤字符串里的的特殊字符  
        * @param str 要过滤的字符串  
        * @return 过滤后的字符串  
        */  
       public static String stringFilter(String str){   
         String[] str_arr=stringSpilit(str,"");   
         for(int i=0;i<str_arr.length;i++){   
           for(int j=0;j<FilterChars.length;j++){   
             if(FilterChars[j][0].equals(str_arr[i]))   
               str_arr[i]=FilterChars[j][1];   
           }   
         }   
         return (stringConnect(str_arr,"")).trim();   
       }   
  
       /**  
* 过滤脚本中的特殊字符(包括回车符(\n)和换行符(\r))  
* @param str 要进行过滤的字符串  
* @return 过滤后的字符串  
* 2004-12-21 闫  
*/  
public static String stringFilterScriptChar(String str){   
String[] str_arr=stringSpilit(str,"");   
for(int i=0;i<str_arr.length;i++){   
   for (int j = 0; j < FilterScriptChars.length; j++) {   
     if (FilterScriptChars[j][0].equals(str_arr[i]))   
       str_arr[i] = FilterScriptChars[j][1];   
   }   
}   
return(stringConnect(str_arr,"")).trim();   
}   
  
  
       /**  
        * 分割字符串  
        * @param str 要分割的字符串  
        * @param spilit_sign 字符串的分割标志  
        * @return 分割后得到的字符串数组  
        */  
       public static String[] stringSpilit(String str,String spilit_sign){   
         String[] spilit_string=str.split(spilit_sign);   
         if(spilit_string[0].equals(""))   
         {   
           String[] new_string=new String[spilit_string.length-1];   
           for(int i=1;i<spilit_string.length;i++)   
             new_string[i-1]=spilit_string[i];   
             return new_string;   
         }   
         else  
           return spilit_string;   
       }   
  
       /**  
        * 字符串字符集转换  
        * @param str 要转换的字符串  
        * @return 转换过的字符串  
        */  
       public static String stringTransCharset(String str){   
         String new_str=null;   
         try{   
             new_str=new String(str.getBytes("iso-8859-1"),"GBK");   
         }   
         catch(Exception e){   
           e.printStackTrace();   
         }   
         return new_str;   
       }   
  
       /**  
        * 测试字符串处理类  
        * @param args 控制台输入参数  
        */  
       public static void main(String[] args){   
  
         //测试字符串过滤   
         String t_str1="<h1>StringDispose字符串 处理\n\r\'\"</h1>";   
         System.out.println("过滤前:"+t_str1);   
         System.out.println("过滤后:"+StringUtils.stringFilter(t_str1));   
         //测试合并字符串   
         String[] t_str_arr1={"PG_1","PG_2","PG_3"};   
         String t_str2=StringUtils.stringConnect(t_str_arr1,",");   
         System.out.println(t_str2);   
         //测试拆分字符串   
         String[] t_str_arr2=StringUtils.stringSpilit(t_str2,",");   
         for(int i=0;i<t_str_arr2.length;i++){   
           System.out.println(t_str_arr2[i]);   
         }   
       }   
}

 

 

分享到:
评论

相关推荐

    java防sql注入攻击过滤器

    为了解决这个问题,Java中的防SQL注入过滤器可以在数据进入数据库之前对用户输入进行检查和清理。这个过滤器通常是一个实现了Servlet Filter接口的类,会在HTTP请求到达目标Servlet之前对其进行拦截和处理。 以下是...

    SQL注入过滤 (Java版)

    总之,Java中的SQL注入过滤器是保护应用程序免受SQL注入攻击的重要手段之一。通过在请求处理前对参数进行检查和清理,可以有效地降低被注入的风险。同时,结合其他安全措施,如使用预编译的SQL语句,可以进一步增强...

    sql注入Java过滤器

    配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符

    JavaScript过滤SQL注入字符

    JavaScript过滤SQL注入字符 ...总结,JavaScript在防止SQL注入中扮演了辅助角色,前端过滤可以提高安全性,但必须结合后端验证才能构建坚固的防线。开发者应了解并实施最佳实践,确保应用的安全性。

    防止sql注入解决方案

    题目中提到的预编译语句是防止SQL注入的关键技术。预编译语句在执行前会先编译,然后多次执行时只需替换参数,这不仅提高了性能,还能有效防止SQL注入。使用预编译语句时,SQL语句的结构是固定的,只有参数是可以...

    防止sql注入过滤器配置

    ### 防止SQL注入过滤器配置详解 #### 一、引言 在现代Web应用开发中,安全性一直是至关重要的方面。SQL注入攻击是黑客常用的一种手段,它通过恶意SQL语句来破坏或操纵数据库中的数据。为了保护系统免受此类攻击,...

    防止sql注入demo

    下面我们将深入探讨SQL注入的基本原理、为何需要防止以及如何在Java中实现过滤器(Filter)来防止此类攻击。 1. SQL注入基础: SQL注入是由于应用程序未能正确验证和清理用户输入的数据导致的。当用户提交的输入被...

    防止sql注入的url过滤器【java filter】

    预编译语句能自动转义特殊字符,有效防止SQL注入。 总之,防止SQL注入的URL过滤器是Web应用安全策略的关键组成部分。通过合理配置和实现,我们可以极大地降低SQL注入的风险,保护我们的应用程序和用户数据不受攻击...

    mybatis如何防止SQL注入

    在使用MyBatis框架开发应用程序时,合理使用参数绑定技术(如`#{}`)以及对动态参数进行有效的过滤处理是防止SQL注入的关键。通过对MyBatis的正确配置和编程实践,可以大大降低应用程序面临的SQL注入风险,确保系统...

    SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)

    SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库操作。攻击者通常寻找没有适当验证和过滤的用户输入,然后利用这些漏洞来构造能改变原始SQL语句意图的...

    JAVA中防止SQL注入攻击类的源代码

    ### JAVA中防止SQL注入攻击类的源代码解析 #### 一、概述 SQL注入是一种常见的安全漏洞,通过这种攻击方式,攻击者可以在应用程序发送到数据库的SQL语句中插入恶意代码,进而执行非授权操作,如修改数据或窃取敏感...

    SQL注入攻击及其解决方案--替换特殊字符.rar

    然而,仅仅替换特殊字符并不足以完全防止SQL注入。更全面的解决方案包括: 1. **预编译语句(参数化查询)**:使用预编译的SQL语句,如Java中的PreparedStatement,将用户输入作为参数传递,而不是直接拼接到SQL...

    java 过滤器filter防sql注入的实现代码

    在Java Web开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过恶意构造的SQL语句来操控数据库。为了防止这种攻击,开发者通常会使用过滤器(Filter)来对用户输入进行预处理,确保输入的数据不会对系统造成危害...

    防止sql注入的java代码

    本文将详细分析一个用于防止SQL注入的Java过滤器类——`Checksql`。 #### 类结构与功能 `Checksql`类实现了`javax.servlet.Filter`接口,主要负责对HTTP请求中的参数进行检查,以确保其不包含可能导致SQL注入攻击...

    java防止sql注入.pdf

    6. **安全的参数化查询**:虽然此示例没有直接展示,但在实际应用中,预防SQL注入的最佳实践是使用预编译的SQL语句,如Java的`PreparedStatement`,它可以自动处理字符串转义,有效地防止SQL注入。 7. **输入长度...

    防止xss和sql注入:JS特殊字符过滤正则

    总结起来,防止XSS和SQL注入需要综合运用多种技术,包括但不限于前端的特殊字符过滤、后端的输入验证和安全编程。对于JavaScript中的特殊字符过滤,提供的函数`stripscript`是一个基础的示例,但实际应用中应考虑更...

    修改请求参数 防止 SQL 注入、防止脚本注入

    总的来说,防止SQL注入和XSS攻击是Web开发中的基础安全措施。通过理解这些攻击方式的工作原理,并在代码中实施相应的防护机制,我们可以大大降低系统被攻击的风险,保障用户数据的安全。记住,安全不是一次性的任务...

    Java面试题解析之判断以及防止SQL注入

    Java防止SQL注入是目前软件开发中非常重要的一个安全问题,SQL注入攻击是目前黑客最常用的攻击手段,它的原理是利用数据库对特殊标识符的解析强行从页面向后台传入,改变SQL语句结构,达到扩展权限、创建高等级用户...

    Hibernate使用中防止SQL注入的几种方案

    以下是Hibernate中防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...

    Java防止SQL注入的几个途径

    对于使用Java进行开发的系统,防止SQL注入是至关重要的。以下是几种有效的防止Java应用遭受SQL注入攻击的方法: 1. **使用PreparedStatement**: Java提供了PreparedStatement接口,它是Statement的子类,用于执行...

Global site tag (gtag.js) - Google Analytics