收藏 分销(赏)
立即下载 开通VIP

Java防止SQL注入的几个途径.doc

上传人:仙人****88 文档编号:9465969 上传时间:2025-03-27 格式:DOC 页数:2 大小:34.50KB
下载 相关 举报
Java防止SQL注入的几个途径.doc_第1页
第1页 / 共2页
Java防止SQL注入的几个途径.doc_第2页
第2页 / 共2页
本文档共2页,全文阅读请下载到手机保存,查看更方便
资源描述
Java防止SQL注入的几个途径 发布时间: 2012-1-04 09:44    作者: helloklzs    来源: 51Testing软件测试网采编   Java防SQL注 入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替 Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间 改变查询的逻辑结构,大部分的SQL注入已经挡住了,在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。 · import java.io.IOException;   · import java.util.Iterator;   · import javax.servlet.Filter;   · import javax.servlet.FilterChain;   · import javax.servlet.FilterConfig;   · import javax.servlet.ServletException;   · import javax.servlet.ServletRequest;   · import javax.servlet.ServletResponse;   · import javax.servlet.http.HttpServletRequest;   · import javax.servlet.http.HttpServletResponse;   · /**  · * 通过Filter过滤器来防SQL注入攻击  · *  · */  · public class SQLFilter implements Filter {   · private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,";   · protected FilterConfig filterConfig = null;   · /**  · * Should a character encoding specified by the client be ignored?  · */  · protected boolean ignore = true;   · public void init(FilterConfig config) throws ServletException {   · this.filterConfig = config;   · this.inj_str = filterConfig.getInitParameter("keywords");   · }   · public void doFilter(ServletRequest request, ServletResponse response,   · FilterChain chain) throws IOException, ServletException {   · HttpServletRequest req = (HttpServletRequest)request;   · HttpServletResponse res = (HttpServletResponse)response;   · Iterator values = req.getParameterMap().values().iterator();//获取所有的表单参数  · while(values.hasNext()){   · String[] value = (String[])values.next();   · for(int i = 0;i < value.length;i++){   · if(sql_inj(value[i])){   · //TODO这里发现sql注入代码的业务逻辑代码  · return;   · }   · }   · }   · chain.doFilter(request, response);   · }   · public boolean sql_inj(String str)   · {   · String[] inj_stra=inj_str.split("\\|");   · for (int i=0 ; i < inj_stra.length ; i++ )   · {   · if (str.indexOf(" "+inj_stra[i]+" ")>=0)   · {   · return true;   · }   · }   · return false;   · }   · }   也可以单独在需要防范SQL注入的JavaBean的字段上过滤: · /**  · * 防止sql注入  · *  · * @param sql  · * @return  · */  · public static String TransactSQLInjection(String sql) {   · return sql.replaceAll(".*([';]+|(--)+).*", " ");   · } 转载地址:
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员

开通VIP      成为共赢上传
相似文档                                   自信AI助手自信AI助手

当前位置:首页 > 教育专区 > 小学其他

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2025 宁波自信网络信息技术有限公司  版权所有

客服电话:4009-655-100  投诉/维权电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服