程序博客网 > 深圳网络推广课程

java防止SQL注入的几个途径

来源:互联网 发布:深圳网络推广课程 编辑:程序博客网 时间:2024/05/16 23:47

原文地址:http://blog.csdn.net/ye1992/article/details/8584411


  1. java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数  
  2. 01  import java.io.IOException;  
  3. 02  import java.util.Iterator;  
  4. 03  import javax.servlet.Filter;  
  5. 04  import javax.servlet.FilterChain;  
  6. 05  import javax.servlet.FilterConfig;  
  7. 06  import javax.servlet.ServletException;  
  8. 07  import javax.servlet.ServletRequest;  
  9. 08  import javax.servlet.ServletResponse;  
  10. 09  import javax.servlet.http.HttpServletRequest;  
  11. 10  import javax.servlet.http.HttpServletResponse;  
  12. 11  /** 
  13. 12  * 通过Filter过滤器来防SQL注入攻击 
  14. 13  * 
  15. 14  */  
  16. 15  public class SQLFilter implements Filter {  
  17. 16 private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%
  18. |chr|mid|master|truncate|char|declare|;|or|-|+|,"
  19. 17  protected FilterConfig filterConfig = null;  
  20. 18  /** 
  21. 19  * Should a character encoding specified by the client be ignored? 
  22. 20  */  
  23. 21  protected boolean ignore = true;  
  24. 22  public void init(FilterConfig config) throws ServletException {  
  25. 23  this.filterConfig = config;  
  26. 24  this.inj_str = filterConfig.getInitParameter("keywords");  
  27. 25  }  
  28. 26  public void doFilter(ServletRequest request, ServletResponse response,  
  29. 27  FilterChain chain) throws IOException, ServletException {  
  30. 28  HttpServletRequest req = (HttpServletRequest)request;  
  31. 29  HttpServletResponse res = (HttpServletResponse)response;  
  32. 30  Iterator values = req.getParameterMap().values().iterator();//获取所有的表单参数  
  33. 31  while(values.hasNext()){  
  34. 32  String[] value = (String[])values.next();  
  35. 33  for(int i = 0;i < value.length;i++){  
  36. 34  if(sql_inj(value[i])){  
  37. 35  //TODO这里发现sql注入代码的业务逻辑代码  
  38. 36  return;  
  39. 37  }  
  40. 38  }  
  41. 39  }  
  42. 40  chain.doFilter(request, response);  
  43. 41  }  
  44. 42  public boolean sql_inj(String str)  
  45. 43  {  
  46. 44  String[] inj_stra=inj_str.split("\\|");  
  47. 45  for (int i=0 ; i < inj_stra.length ; i++ )  
  48. 46  {  
  49. 47  if (str.indexOf(" "+inj_stra[i]+" ")>=0)  
  50. 48  {  
  51. 49  return true;  
  52. 50  }  
  53. 51  }  
  54. 52  return false;  
  55. 53  }  
  56. 54  }  
  57.   
  58. 也可以单独在需要防范SQL注入的JavaBean的字段上过滤:  
  59. 1   /** 
  60. 2   * 防止sql注入 
  61. 3   * 
  62. 4   * @param sql 
  63. 5   * @return 
  64. 6   */  
  65. 7   public static String TransactSQLInjection(String sql) {  
  66. 8   return sql.replaceAll(".*([';]+|(--)+).*"" ");  
  67. 9   }  

深圳网络推广课程 深圳网络推广课程
原创粉丝点击
热门IT博客
access数据库和excelaccess数据库和excel
海康威视4g网络摄像头海康威视4g网络摄像头
网络流行语作文800字
oracle和mysql的区别
2016全球电子商务数据
床垫品牌 知乎推荐款
人工智能论文2000字
洛克人网络争霸战01
日本武士的电影 知乎
梅西进球数据
世界上第一个人工智能
淘宝华佗大药房旗舰店
软件开发前景分析
七天网络阅卷系统查分
网络歌曲白裙子
newman 网络引论
软件升级服务合同
最小单片机
js window.open php
学拼音打字软件
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 工资条怎么打印 如何制作工资条 word 工资条 怎样打印工资条 铁路工资条 如何做工资条 怎样做工资条 个人工资条模板 工资条的打印 工资条 制作 工资条样板 如何打印工资条 怎么样做工资条 怎么打印工资条 关于工资条 美容院工资条 工资条打印方法 怎么打工资条 工资条 发送 工资条 打印机 快速打印工资条 中海油工资条 工资条纸 怎么制作工资条 公司 工资条 服装厂工资条 怎么查工资条 工资条的制作 工资条打印设置 工资条 邮件 如何制工资条 企业不发工资条 工资条宏 工资条的格式 工资条怎么打 邮件 工资条 钉钉怎么查看工资条 怎么快速制作工资条 2018年新规定不发工资条 法务工资一般是多少 工资法

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里