jsp中防止sql注入的一些基本预防措施
来源:互联网 发布:西门子plc编程工资 编辑:程序博客网 时间:2024/05/16 09:53
一、啥是sql注入
所谓sql注入简单说就是被人钻了SQL的空子下面举个最简单的例子。
sql 为:"select * from users where username='"+userName+"' and password='"+password+"' "
1、攻击者只要在传入的userName加上'--上面的sql便将username='"+userName+"' 后面的条件全部注释掉。直接验证通过。
2、甚至攻击者只要传入 ' or 1=1 -- 道理也是一样的。
3、sql注入原理推荐个文章,里面有介绍。http://www.nosec.org/2009/0918/59.html
二、解决方法: 过滤掉用户输入中的危险字符
1、第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
String sql= "select * from users where username=? and password=?;
PreparedStatement preState = conn.prepareStatement(sql);
preState.setString(1, userName);
preState.setString(2, password);
ResultSet rs = preState.executeQuery();
2、将传入的字符串做过滤.replaceAll(".*([';]+|(--)+).*", " ");
3、js验证:通过js过滤掉客户端提交上来的字符(现在绕过js验证的方法太多不建议采用)
function IsValid( oField ){
re= /select|update|delete|exec|count|'|"|=|;|>|<|%/i;
$sMsg = "请您不要在参数中输入特殊字符和SQL关键字!"
if ( re.test(oField.value) )
{
alert( $sMsg );
oField.value = '';
oField.focus();
return false;
}
说明:以上文章大部分来参考网络资料。整理后方便自己的查阅和学习。
- jsp中防止sql注入的一些基本预防措施
- SQL注入和预防措施
- 一些防止SQL注入攻击的方法
- Hibernate一些防止SQL注入的方式
- 防止sql注入的一些方法
- jsp防止sql语句注入
- JSP过滤器防止SQL注入
- 防止 jsp被sql注入
- Global中防止SQL注入的方法
- php中防止SQL注入的方法
- php中防止SQL注入的方法
- php中防止SQL注入的方法
- php中防止SQL注入的方法
- php中防止SQL注入的方法
- PHP中防止SQL注入的方法
- PHP中防止SQL注入的方法
- 防止 jsp被sql注入的五种方法
- 防止 jsp被sql注入的五种方法
- 我的vsftpd.conf
- 在前台aspx页面中直接判断绑定的数据是否为空!
- ip检验和算法分析与实现
- pku 3356 (DP)
- FitReport 速报 (原FlexQueXML) 发布
- jsp中防止sql注入的一些基本预防措施
- JPEG文件格式简介
- 页面中不能使用EL表达式和tomcat的版本有关
- Log4j 使用
- windows 程序权限的提升方法
- Java容器类List、ArrayList、Vector及map、HashTable、HashMap的区别与用法
- 转: java面试题及答案(基础题122道,代码题19道)
- Web页面上中显示word中的内容
- pyhton 引用与赋值的分析