Java防止SQL注入

標籤：style   color   io   使用   ar   java   sp   資料   div   

SQL 注入簡介：
        SQL注入是最常見的攻擊方式之一,它不是利用作業系統或其它系統的漏洞來實現攻擊的,而是程式員因為沒有做好判斷,被不法

使用者鑽了SQL的空子,下面我們先來看下什麼是SQL注入:

        比如在一個登陸介面,要求使用者輸入使用者名稱和密碼:

        使用者名稱:     ‘ or 1=1 --   

        密     碼:   

        點登陸,如若沒有做特殊處理,而只是一條帶條件的查詢語句如:

        String sql="select * from users where username=‘"+userName+"‘ and password=‘"+password+"‘ "

        那麼這個非法使用者就很得意的登陸進去了.(當然現在的有些語言的資料庫API已經處理了這些問題)

        這是為什麼呢?我們來看看這條語句,將使用者輸入的資料替換後得到這樣一條語句:

        select * from users where username=‘‘ or 1=1 --‘ and password=‘‘

        為了更明白些，可以將其複製到SQL分析器中，將會發現，這條語句會將資料庫的資料全部讀出來，為什麼呢？

        很簡單,看到條件後面 username=‘‘ or 1=1 使用者名稱等於 ‘‘ 或 1=1 那麼這個條件一定會成功，然後後面加兩個-，這意味著

什嗎？沒錯，注釋，它將後面的語句注釋，讓他們不起作用，這樣就可以順利的把資料庫中的資料讀取出來了。

        這還是比較溫柔的，如果是執行
        select * from users where username=‘‘ ;DROP Database    (DB Name) --‘ and password=‘‘

        .......其他的您可以自己想象。。。

        那麼我們怎麼來處理這種情況呢？下面我以java為列給大家兩種簡單的方法：

        第一種採用先行編譯語句集，它內建了處理SQL注入的能力，只要使用它的setString方法傳值即可：
        String sql= "select * from users where username=? and password=?;
        PreparedStatement preState = conn.prepareStatement(sql);
        preState.setString(1, userName);
        preState.setString(2, password);
        ResultSet rs = preState.executeQuery();
        ...

        第二種是採用Regex將包含有 單引號(‘)，分號(;) 和 注釋符號(--)的語句給替換掉來防止SQL注入
        public static String TransactSQLInjection(String str)
        {
              return str.replaceAll(".*([‘;]+|(--)+).*", " ");

           // 我認為 應該是return str.replaceAll("([‘;])+|(--)+","");

        }

        userName=TransactSQLInjection(userName);
        password=TransactSQLInjection(password);

        String sql="select * from users where username=‘"+userName+"‘ and password=‘"+password+"‘ "
        Statement sta = conn.createStatement();
        ResultSet rs = sta.executeQuery(sql);

Java防止SQL注入