首頁 > 開發者 > Java

Java防止SQL注入的幾個途徑

來源:互聯網
上載者:User
創建阿里雲帳戶,並獲得超過 40 款產品的免費試用版;而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊!

標籤:http   io   使用   ar   java   for   sp   on   cti   

java防SQL注入,最簡單的辦法是杜絕SQL拼接,SQL注入攻擊能得逞是因為在原有SQL語句中加入了新的邏輯,如果使用 PreparedStatement來代替Statement來執行SQL語句,其後只是輸入參數,SQL注入攻擊手段將無效,這是因為 PreparedStatement不允許在不同的插入時間改變查詢的邏輯結構 ,大部分的SQL注入已經擋住了, 在WEB層我們可以過濾使用者的輸入來防止SQL注入比如用Filter來過濾全域的表單參數 
01  import java.io.IOException; 
02  import java.util.Iterator; 
03  import javax.servlet.Filter; 
04  import javax.servlet.FilterChain; 
05  import javax.servlet.FilterConfig; 
06  import javax.servlet.ServletException; 
07  import javax.servlet.ServletRequest; 
08  import javax.servlet.ServletResponse; 
09  import javax.servlet.http.HttpServletRequest; 
10  import javax.servlet.http.HttpServletResponse; 
11  /**
12  * 通過Filter過濾器來防SQL注入攻擊
13  * www.2cto.com
14  */ 
15  public class SQLFilter implements Filter { 
16  private String inj_str = "‘|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,"; 
17  protected FilterConfig filterConfig = null; 
18  /**
19  * Should a character encoding specified by the client be ignored?
20  */ 
21  protected boolean ignore = true; 
22  public void init(FilterConfig config) throws ServletException { 
23  this.filterConfig = config; 
24  this.inj_str = filterConfig.getInitParameter("keywords"); 
25  } 
26  public void doFilter(ServletRequest request, ServletResponse response, 
27  FilterChain chain) throws IOException, ServletException { 
28  HttpServletRequest req = (HttpServletRequest)request; 
29  HttpServletResponse res = (HttpServletResponse)response; 
30  Iterator values = req.getParameterMap().values().iterator();//擷取所有的表單參數 
31  while(values.hasNext()){ 
32  String[] value = (String[])values.next(); 
33  for(int i = 0;i < value.length;i++){ 
34  if(sql_inj(value[i])){ 
35  //TODO這裡發現sql注入代碼的商務邏輯代碼 
36  return; 
37  } 
38  } 
39  } 
40  chain.doFilter(request, response); 
41  } 
42  public boolean sql_inj(String str) 
43  { 
44  String[] inj_stra=inj_str.split("\\|"); 
45  for (int i=0 ; i < inj_stra.length ; i++ ) 
46  { 
47  if (str.indexOf(" "+inj_stra[i]+" ")>=0) 
48  { 
49  return true; 
50  } 
51  } 
52  return false; 
53  } 
54  } 
 
也可以單獨在需要防範SQL注入的JavaBean的欄位上過濾: 
1   /**
2   * 防止sql注入
3   *
4   * @param sql
5   * @return
6   */ 
7   public static String TransactSQLInjection(String sql) { 
8   return sql.replaceAll(".*([‘;]+|(--)+).*", " "); 
9   }

Java防止SQL注入的幾個途徑

本文章原先以中文撰寫並發佈於 aliyun.com,亦設英文版本,僅作資訊用途。本網站不對文章的準確性,完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴,請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡,一經驗證之後,即會刪除該侵權內容。

相關關鍵詞:
java escape sql injection sql injection prevention java oracle sql developer java exe how to stop sql injection in java prevent sql injection in java code sql interview questions for java developers how to prevent sql injection attacks in java
相關文章
How to convert docx/odt to pdf/html with Java?__java
淺談 Java 中的枚舉
解決:java.io.IOException: Server returned HTTP response code: 500
java.imageIo給圖片添加浮水印的實現代碼
java 全形半形字元轉換如何?

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

熱門內容

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

  • Sales Support

    1 on 1 presale consultation

    Chat Contact Sales

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    Open a Ticket

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

    Learn More