程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
設為首頁 加入收藏
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> JAVA編程 >> 關於JAVA >> Java防止SQL注入的幾個途徑

Java防止SQL注入的幾個途徑

編輯:關於JAVA

Java防SQL注入,最簡單的辦法是杜絕SQL拼接,SQL注入攻擊能得逞是因為在原有SQL語句中加入了新的邏輯,如果使用PreparedStatement來代替Statement來執行SQL語句,其後只是輸入參數,SQL注入攻擊手段將無效,這是因為PreparedStatement不允許在不同的插入時間改變查詢的邏輯結構,大部分的SQL注入已經擋住了,在WEB層我們可以過濾用戶的輸入來防止SQL注入比如用Filter來過濾全局的表單參數。

  1. import Java.io.IOException;  
  2. import Java.util.Iterator;  
  3. import Javax.servlet.Filter;  
  4. import Javax.servlet.FilterChain;  
  5. import Javax.servlet.FilterConfig;  
  6. import Javax.servlet.ServletException;  
  7. import Javax.servlet.ServletRequest;  
  8. import Javax.servlet.ServletResponse;  
  9. import Javax.servlet.http.HttpServletRequest;  
  10. import Javax.servlet.http.HttpServletResponse;  
  11. /**  
  12. * 通過Filter過濾器來防SQL注入攻擊  
  13. *  
  14. */ 
  15. public class SQLFilter implements Filter {  
  16. private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,";  
  17. protected FilterConfig filterConfig = null;  
  18. /**  
  19. * Should a character encoding specified by the clIEnt be ignored?  
  20. */ 
  21. protected boolean ignore = true;  
  22. public void init(FilterConfig config) throws ServletException {  
  23. this.filterConfig = config;  
  24. this.inj_str = filterConfig.getInitParameter("keyWords");  
  25. }  
  26. public void doFilter(ServletRequest request, ServletResponse response,  
  27. FilterChain chain) throws IOException, ServletException {  
  28. HttpServletRequest req = (HttpServletRequest)request;  
  29. HttpServletResponse res = (HttpServletResponse)response;  
  30. Iterator values = req.getParameterMap().values().iterator();//獲取所有的表單參數  
  31. while(values.hasNext()){  
  32. String[] value = (String[])values.next();  
  33. for(int i = 0;i < value.length;i++){  
  34. if(sql_inj(value[i])){  
  35. //TODO這裡發現sql注入代碼的業務邏輯代碼  
  36. return;  
  37. }  
  38. }  
  39. }  
  40. chain.doFilter(request, response);  
  41. }  
  42. public boolean sql_inj(String str)  
  43. {  
  44. String[] inj_stra=inj_str.split("\\|");  
  45. for (int i=0 ; i < inj_stra.length ; i++ )  
  46. {  
  47. if (str.indexOf(" "+inj_stra[i]+" ")>=0)  
  48. {  
  49. return true;  
  50. }  
  51. }  
  52. return false;  
  53. }  
  54. }

也可以單獨在需要防范SQL注入的JavaBean的字段上過濾:

  1. /**  
  2. * 防止sql注入  
  3. *  
  4. * @param sql  
  5. * @return  
  6. */ 
  7. public static String TransactSQLInjection(String sql) {  
  8. return sql.replaceAll(".*([';]+|(--)+).*", " ");
  1. 上一頁:
  2. 下一頁:
關於JAVA
[Eclipse]GEF入門系列(十二、自定義Request)

先簡單回顧一下Request在GEF裡的作用。
使用Eclipse Callisto分析應用程序

Eclipse(Eclipse 3.2)的最新
用Runtime Spy調整Eclipse的啟動性能,第1部分 - 開始

我們幾乎每天都會聽說有新的公司選用 Eclip
Java理論與實踐: 您的小數點到哪裡去了?

許多程序員在其整個開發生涯中都不曾使用定點或浮
層層遞進Struts1(三)之Struts組成

這篇博客我們來說一下Struts的主要組成我們
Java語言簡單工廠創立性模式介紹

研究和使用創立性模式的必要性面向對象的設計的目
相關文章
閱讀排行榜
Java generic中通配符的幾點理解 深入分析Java中webwork的文件上傳機制 java如何遠程調用linux的命令或者腳本 Java Thread類的join()方法小結 Java編程:數據的截尾與捨入 Project_Mapping 我給大家解釋一下 java樹型結構 專家和您一起談談java加殼的問題 Tomcat啟動時項目重復加載所導致資源初始化兩次的問題 實現在Hibernate中的分頁查詢原理解讀 在Eclipse 3.1中體驗J2SE 5.0的新特性: 第一部分 :枚舉類型
熱門圖文
Delphi實現程序自動升級功能-升級精靈代碼 不使用php api函數實現數組的交換排序示例 objective c-iphone想要獲得預期結果 圖片-Jquery如何實現以下功能 C#發現之旅第十一講 使用反射和特性構造自己的ORM框架(下)(3) CF 286C(Main Sequence-貪心括號匹配) HTML服務器控件介紹:HtmlGeneric控件 java基礎-Java基礎一個問題,求幫忙解答
欄目導航
JAVA編程入門知識關於JAVAJ2EEJ2SEJ2MEJAVA綜合教程
Copyright © 程式師世界 All Rights Reserved