2. 程式人生 > >防止sql註入的方法

防止sql註入的方法

阿新 發佈:2017-08-26
lib cte md5 class title 服務器 問題 避免 破壞

防止sql註入從前端的頁面到後臺可以分為以下幾個辦法:

1.在前端頁面就可以用js過濾數據

要引入的包:

import Java.util.regex.*;

正則表達式:

private String CHECKSQL = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;

判斷是否匹配:

Pattern.matches(CHECKSQL,targerStr);

下面是具體的正則表達式:

檢測SQL meta-characters的正則表達式 :

/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix

修正檢測SQL meta-characters的正則表達式 :/((\%3D)|(=))[^\n]*((\%27)|(\’)|(\-\-)|(\%3B)|(:))/i

典型的SQL 註入攻擊的正則表達式 :/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

檢測SQL註入,UNION查詢關鍵字的正則表達式 :/((\%27)|(\’))union/ix(\%27)|(\’)

檢測MS SQL Server SQL註入攻擊的正則表達式:

/exec(\s|\+)+(s|x)p\w+/ix

2.後臺可以使用預編譯,參數化查詢的方法防止sql註入

采用預編譯語句集,它內置了處理SQL註入的能力,只要使用它的setXXX方法傳值即可。

使用好處:

(1).代碼的可讀性和可維護性.

(2).PreparedStatement盡最大可能提高性能.

(3).最重要的一點是極大地提高了安全性.

原理:

sql註入只對sql語句的準備(編譯)過程有破壞作用

而PreparedStatement已經準備好了,執行階段只是把輸入串作為數據處理,

而不再對sql語句進行解析,準備,因此也就避免了sql註入問題.

3.對密碼一類敏感的信息不要直接明文存儲,可以采用MD5或hash加密

4.異常信息不要直接拋出給用戶,最好自定義處理異常信息的類,因為異常信息裏也包括關於服務器的一些信息可能被利用。

防止sql註入的方法

相關推薦

防止sql方法

lib cte md5 class title 服務器 問題 避免 破壞 防止sql註入從前端的頁面到後臺可以分為以下幾個辦法: 1.在前端頁面就可以用js過濾數據 要引入的包: import Java.util.regex.*; 正則表達式: private String

網站mysql防止sql*** 3種方法總結

詳細 pro 直接 coo ado 問題總結 color 都在 數據庫盲註 mysql數據庫一直以來都遭受到sql註入***的影響,很多網站,包括目前的PC端以及手機端都在使用php+mysql數據庫這種架構,大多數網站受到的***都是與sql註入***有關,那麽mysql

php防止sql方法(轉)

原來 nta puts post提交 支持 允許 line php代碼 開發人員 【一、在服務器端配置】 安全,PHP代碼編寫是一方面,PHP的配置更是非常關鍵。我們php手手工安裝的,php的默認配置文件在 /usr/local/apache2/conf/p

c#配置問題以及簡單防止sql,連接池問題,sqldatareader對象對於connection對象的釋放

c#添加引用。system configurationconfigurationManager.AppSettings[“”]<appSetings><add key=“” value=“”></appSetings><connectionStrings><

PDO防止SQL具體介紹

取代 能夠 article 數據庫 bsp 什麽 幫助 用戶 機會 <span style="font-size:18px;"><?php $dbh = new PDO("mysql:host=localhost; dbname=demo", "use

【EF框架】使用params參數傳值防止SQL報錯處理

collect oar mapping cnblogs ken datetime nbsp .com src 通過SqlParameter傳時間參數,代碼如下: var param = new List<SqlParamete

Python防止sql

pan lec posit printf osi sqli jet usr operation 看了網上文章,說的都挺好的,給cursor.execute傳遞格式串和參數,就能防止註入,但是我寫了代碼,卻死活跑不通,懷疑自己用了一個假的python 最後,發現原因可能是

防止sql的函數addslashes()

php null str ges 定義 echo pre 註入 之前 1 <?php 2 $str = addslashes(‘Shanghai is the "biggest" city in China.‘); 3 echo($str); 4 ?> 定義

like語句防止SQL

concat bsp lec test where mysq sql rom school mysql: select * from test where school_name like concat(‘%‘,${name},‘%‘) oracle: select *

18)添加引號轉移函數,防止SQL

factor isset art .com md5 ati 出錯 pri 取數據 目錄機構:      然後我的改動代碼:     MysqlDB.class.php      1 <?php 2 3 /** 4

MyBatis如何防止SQL

用戶輸入 數據庫服務 update pub 輸出 正則 ont sql 配置文件 SQL註入起因 SQL註入是一種常見的攻擊方式,攻擊者或者誤操作者通過表單信息或者URL輸入一些異常的參數,傳入服務端進行SQL處理,可能會出現這樣的情況delete from app_po

PHP:測試SQL以及防止SQL

escape sca ase ouya pro sch 參與 則表達式 其中 在寫登錄註冊的時候發現了SQL和JS註入這個危害網站的用戶舉動: 測試方法: SQL註入: 1 先來做一個測試: 2 用戶名:’ or 1 # 3 密碼:隨便寫8位以上

Python中如何防止sql

mage cut 人員 錯誤 where mysqld 針對 應該 就是   sql註入中最常見的就是字符串拼接,研發人員對字符串拼接應該引起重視,不應忽略。   錯誤用法1:     sql = "select id, name from test where id=

如何防止sql

特殊 進行 是否 服務 信息 字符 限制 如何 欺騙 所謂SQL註入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。 1.在前臺頁面對用戶的信息通過js進行驗證,對特殊字符進行屏蔽 在後臺正則表達式驗

【Statement和PreparedStatement有什麽區別?哪個性能更好?預編譯語句,防止sql問題】

dstat () 驅動程序 對象 生成 from result 查詢語句 驅動 答:與Statement相比,①PreparedStatement接口代表預編譯的語句,它主要的優勢在於可以減少SQL的編譯錯誤並增加SQL的安全性(減少SQL註射攻擊的可能性);②Prepar

mybatis是如何防止SQL

什麽是 我只 打印 高效率 pda dia get 處理 from mybatis是如何防止SQL註入的 1、首先看一下下面兩個sql語句的區別: <select id="selectByNameAndPassword" parameterType="java

防止SQL

return user gpo his name pre check 去除空格 () 1 function checkStr($username){ 2 //自定義字符串規則 3 } 4 5 function checkLogin($user

php防止sql

狀態 content fetch 字符集 param nbsp eth 轉義 lec 發布時間:9個月前熱度: 816 ℃評論數: 1 三個函數: addslashes($string):用反斜線引用字符串中的特殊字符‘ " \ $username=addslas

PHP中防止SQL

string 直接 mysqli select 自定義 pan conn php sele 防止SQL註入,我們需要註意以下幾個要點: 1.永遠不要信任用戶的輸入。對用戶的輸入進行校驗,可以通過正則表達式,或限制長度;對單引號和 雙"-"進行轉換等。 2.永遠不要使用動態

5月11日 python學習總結 子查詢、pymysql模塊增刪改查、防止sql問題

hal port 註入 any dict lex absolut username 參數 一、子查詢    子查詢:把一個查詢語句用括號括起來,當做另外一條查詢語句的條件去用,稱為子查詢 select emp.name from emp inner join dep on