亚洲综合社区欧美综合色-欧美逼逼一区二区三区-国产老熟女高潮精品网站-国产日韩最新视频在线看

始創(chuàng)于2000年 股票代碼:831685
咨詢熱線:0371-60135900 注冊有禮 登錄
  • 掛牌上市企業(yè)
  • 60秒人工響應(yīng)
  • 99.99%連通率
  • 7*24h人工
  • 故障100倍補償
全部產(chǎn)品
您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

Java防止SQL注入的幾個途徑
發(fā)布時間:  2012/8/28 20:44:00

java防SQL注入,最簡單的辦法是杜絕SQL拼接,SQL注入攻擊能得逞是因為在原有SQL語句中加入了新的邏輯,如果使用PreparedStatement來代替Statement來執(zhí)行SQL語句,其后只是輸入?yún)?shù),SQL注入攻擊手段將無效,這是因為PreparedStatement不允許在不同的插入時間改變查詢的邏輯結(jié)構(gòu) ,大部分的SQL注入已經(jīng)擋住了, 在WEB層我們可以過濾用戶的輸入來防止SQL注入比如用Filter來過濾全局的表單參數(shù)
01  import java.io.IOException;
02  import java.util.Iterator;
03  import javax.servlet.Filter;
04  import javax.servlet.FilterChain;
05  import javax.servlet.FilterConfig;
06  import javax.servlet.ServletException;
07  import javax.servlet.ServletRequest;
08  import javax.servlet.ServletResponse;
09  import javax.servlet.http.HttpServletRequest;
10  import javax.servlet.http.HttpServletResponse;
11  /**
12  * 通過Filter過濾器來防SQL注入攻擊
13  *

14  */
15  public class SQLFilter implements Filter {
16  private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,";
17  protected FilterConfig filterConfig = null;
18  /**
19  * Should a character encoding specified by the client be ignored?
20  */
21  protected boolean ignore = true;
22  public void init(FilterConfig config) throws ServletException {
23  this.filterConfig = config;
24  this.inj_str = filterConfig.getInitParameter("keywords");
25  }
26  public void doFilter(ServletRequest request, ServletResponse response,
27  FilterChain chain) throws IOException, ServletException {
28  HttpServletRequest req = (HttpServletRequest)request;
29  HttpServletResponse res = (HttpServletResponse)response;
30  Iterator values = req.getParameterMap().values().iterator();//獲取所有的表單參數(shù)
31  while(values.hasNext()){
32  String[] value = (String[])values.next();
33  for(int i = 0;i < value.length;i++){
34  if(sql_inj(value[i])){
35  //TODO這里發(fā)現(xiàn)sql注入代碼的業(yè)務(wù)邏輯代碼
36  return;
37  }
38  }
39  }
40  chain.doFilter(request, response);
41  }
42  public boolean sql_inj(String str)
43  {
44  String[] inj_stra=inj_str.split("\\|");
45  for (int i=0 ; i < inj_stra.length ; i++ )
46  {
47  if (str.indexOf(" "+inj_stra[i]+" ")>=0)
48  {
49  return true;
50  }
51  }
52  return false;
53  }
54  }
 
也可以單獨在需要防范SQL注入的JavaBean的字段上過濾:
1   /**
2   * 防止sql注入
3   *
4   * @param sql
5   * @return
6   */
7   public static String TransactSQLInjection(String sql) {
8   return sql.replaceAll(".*([';]+|(--)+).*", " ");
9   }


本文出自:億恩科技【1tcdy.com】

服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
  • 您可能在找
  • 億恩北京公司:
  • 經(jīng)營性ICP/ISP證:京B2-20150015
    •
  • 億恩鄭州公司:
  • 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
    •
  • 億恩南昌公司:
  • 經(jīng)營性ICP/ISP證:贛B2-20080012
    •
  • 服務(wù)器/云主機(jī) 24小時售后服務(wù)電話:0371-60135900
  • 虛擬主機(jī)/智能建站 24小時售后服務(wù)電話:0371-60135900
    •
    專注服務(wù)器托管17年
    掃掃關(guān)注-微信公眾號
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號
      0
     
     
     
     

    0371-60135900
    7*24小時客服服務(wù)熱線