论坛首页 Java企业应用论坛

SQL注入攻击防御方案

浏览 33935 次
该帖已经被评为精华帖
作者 正文
   发表时间:2012-03-21  
jinnianshilongnian 写道
sdh5724 写道
yuechen323 写道
这位大哥 写了 fastjson 又弄了个sql注入防御的,真是牛人啊~~ 中国软件事业就靠你啦~  不过还是花时间多陪陪家人比较好~~


你是抱着老婆来看技术论坛? 哈哈哈~


估计还没老婆吧 

回家就抱 哈哈哈哈
0 请登录后投票
   发表时间:2012-03-21  
sorry了,2年前一个joomla的网站出了个admin控制台的登录sql注入漏洞,我还以为php没有prepare
其实一切都该是prepared的,无论从性能还是安全考虑都是第一位的
换句话说只要你prepared了,sql injection就无所谓了
而java还有不prepared的吗?如果有那是程序员素质问题,比如jpa/hibernate的query里面不用占位符非得拼字符串之类的,其实纯sql也一样。
综上,这个项目本身有点莫名其妙,治标不治本。

mahonet 写道
surfire91 写道
flashing 写道
如果你用的是prepared,这玩意有啥用吗。。。这是给asp和php用的把,汗


话说php也可以用prepare,这是数据库提供的支持。如果数据库支持prepare,这个东西还有用吗?

对啊,大家怎么老说php存在注入漏洞,java不存在。。。我看不是一样的嘛。。。

0 请登录后投票
   发表时间:2012-03-21  
赚人民币的好方法就是赚那些人傻钱多的。
0 请登录后投票
   发表时间:2012-03-21  
Druid 0.2版本已经发布,并且已经发布到maven仓库:

<dependencies>
	<dependency>
		<groupId>com.alibaba</groupId>
		<artifactId>druid</artifactId>
		<version>0.2</version>
	</dependency>
</dependencies>


直接下载地址:
http://repo1.maven.org/maven2/com/alibaba/druid/0.2/


欢迎大家使用反馈!
0 请登录后投票
   发表时间:2012-03-22  
怎么更新的那么快
0 请登录后投票
   发表时间:2012-03-22  
感觉这东西没什么意义,如果由于程序员的水平不行,写出了导致sql注入的代码,只能说是程序的bug,你用一个工具是纠正它,不如从根本解决问题(提高程序员的水平,使用正确的代码去写),而且过滤对效率也有影响,哪天出现了aa注入、bb注入,都给它写个过滤器吗,项目不是这么干的~
0 请登录后投票
   发表时间:2012-03-22  
yuechen323 写道
怎么更新的那么快


重要新功能加入,所以发布了一个版本 :)
0 请登录后投票
   发表时间:2012-03-22  
18万SQL测试,我想知道是怎样的18万条语句。为啥要这么做?
0 请登录后投票
   发表时间:2012-03-22  
太强大了~
虽然用绑定变量,并且不用ibatis的表示这种方式不需要。。。
0 请登录后投票
   发表时间:2012-03-22   最后修改:2012-03-22
or id > 0 或者 '1'||name >'0' 或者  '1'||name like '1%'类似永真,也能防范。禁止拼接sql才是王道
0 请登录后投票
论坛首页 Java企业应用版

跳转论坛:
Global site tag (gtag.js) - Google Analytics