2. 程式人生 > >java防sql注入方法小結

java防sql注入方法小結

阿新 發佈:2019-02-09

本文對java操作資料庫的一項重點內容——防sql注入進行說明。對現有方法進行了簡單優劣討論與總結,供大家參考討論。

重點:不要將使用者輸入內容,在未經檢查的情況下,直接拼接為sql語句進行資料庫訪問操作。

防sql注入方法如下:

  • 過濾輸入
    對輸入內容進行充分過濾,可以利用正則表示式進行匹配。
    例如:“(?:’)|(?:–)|(/\*(?:.|[\n\r])?\/)|(and|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare)”
    優點:可快速完成對存在sql注入隱患的程式改造;
    缺點

    :會對包含過濾關鍵字的正常內容進行過濾,可能影響正常功能;過濾可能不完備,依然存在sql注入隱患。

  • 預編譯語句
    採用預編譯語句集(PreparedStatement),它內建了處理SQL注入的能力,只要使用它的setXXX方法傳值即可。
    優點:程式碼的可讀性和可維護性;PreparedStatement盡最大可能提高效能;最重要的一點是極大地提高了安全性。
    缺點:對每一條資料庫操作語句都需要進行處理,程式碼開發會比較麻煩一些。

  • 使用框架
    使用框架標準的資料庫訪問類,如:Hibernate框架的Criteria、HibernateDaoSupport等類,並且可以使用反射技術,使得程式碼通用性比較高。
    優點

    :框架由經驗豐富的程式設計師開發,遠比自己開發的程式要完備;直接使用框架,不用考慮具體細節。
    缺點:需要對框架進行學習,遵循框架規則進行使用。

==================================
==疑問?幫助?批評?歡迎評論 | QQ:593159978==
==================================

相關推薦

javasql注入方法小結

本文對java操作資料庫的一項重點內容——防sql注入進行說明。對現有方法進行了簡單優劣討論與總結,供大家參考討論。 重點:不要將使用者輸入內容,在未經檢查的情況下,直接拼接為sql語句進行資料庫訪問操作。 防sql注入方法如下: 過濾輸入 對輸入內容

sql注入方法

一、什麼是sql注入 sql注入是比較常見的網路攻擊方式之一,它不是利用作業系統的bug進行攻擊,而是通過程式設計程式碼的疏漏,通過編寫特定的sql語句,進行資料庫的非法訪問。 二、 sql注入流程 尋找sql注入位置 判斷伺服器型別和後臺資料型別 針對不同的伺服器和資料庫特點

javasql注入sql語句拼接工具sqlHandle

     我在做網站的時候有一個需要在不同的插入時間改變查詢的邏輯結構,這個時候用PreparedStatement就不太適合了靈活性太差。所以我就寫了一個sql拼接工具。它的原理是將sql語句段與值繫結在一起,然後在最後拼接的時候把值按順序傳人給PreparedSt

java處理sql注入方法——sql轉義

昨天被掃描出來sql注入問題,之前以為已經解決了,沒想到還是出現了。 網上現有方法: 1、preparestatement 由於每次執行都需要prepare,所以不推薦使用 2、一個單引號變成兩個 replace("'","''")其他的字串替代方法有著侷限性,就不列舉了。

jquery sql注入方法

function injectChk($sql_str) { //防止注入         $check = eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|out

java防止SQL注入的兩種方法

1.採用預編譯語句集,它內建了處理SQL注入的能力,只要使用它的setString方法傳值即可: String sql= "select * from users where username=? and password=?; PreparedStatement

JAVA WEB中處理SQL注入|XSS跨站指令碼攻擊(咋個辦呢 zgbn)

JAVA WEB中處理防SQL注入|防XSS跨站指令碼 在java web專案中,必然會涉及到從客戶端向服務端提交資料,那麼由於服務端對資料的處理等動作,會因為字串拼接和使用的特殊性,存在一些漏洞被人利用。 這篇文章,主要介紹一下在java web專案中,程

C#SQL注入程式碼的三種方法

對於網站的安全性,是每個網站開發者和運營者最關心的問題。網站一旦出現漏洞,那勢必將造成很大的損失。為了提高網站的安全性,首先網站要防注入,最重要的是伺服器的安全設施要做到位。 下面說下網站防注入的幾點要素。   一:丟棄SQL語句直接拼接,雖然這個寫起來很快

SqlParameterSQL注入方法

1、 SqlParameter 建構函式SqlParameter(String, SqlDbType, Int32,ParameterDirection, Byte, Byte, String, DataRowVersion, Boolean, Object,String,

.Netsql注入方法總結

#防sql注入的常用方法: 1、服務端對前端傳過來的引數值進行型別驗證; 2、服務端執行sql,使用引數化傳值,而不要使用sql字串拼接; 3、服務端對前端傳過來的資料進行sql關鍵詞過來與檢測; #著重記錄下服務端進行sql關鍵詞檢測: 1、sql關鍵詞檢測類: 1 pub

JAVA中用 SQL語句操作小結

update 數據類型 where條件 ring 行數 實用 英文 delet date 1、添加記錄(INSERT) 使用SQL語句的INSERT命令可以向數據庫中插入記錄,INSERT命令的基本形式為: INSERT INTO 表名 [(字段名1,字段名2…)] VAL

php對前臺提交的表單資料做安全處理(SQL注入和XSS攻擊等)

/** * 防sql注入字串轉義 * @param $content 要轉義內容 * @return array|string */ public static function escapeString($content) { $pa

php用於SQL注入的幾個函式

用於防SQL注入的幾個函式 不要相信使用者的在登陸中輸入的內容,需要對使用者的輸入進行處理 SQL注入: ' or 1=1 #   防止SQL注入的幾個函式:   addslashes($string):用反斜線引用字串中的特殊字元' " \ $u

MySQLSQL注入

1,mysql_real_escape_string()函式已經不安全,可以利用編碼的漏洞來實現輸入任意密碼就能登入伺服器的注入攻擊 2,使用擁有Prepared Statement機制的PDO和MYSQLi來代替mysql_query(注:mysql_query自 PHP 5.5.0 起已

ubuntu上安裝Apache2+ModSecurity及實現SQL注入演示

ubuntu上安裝Apache2+ModSecurity及實現防SQL注入演示 一、Apache2 的安裝 1.1、安裝環境: OS:Ubuntu 16.04.1 LTS Apache: Apache/2.4.18 (Ubuntu) 安裝命令: 更新安裝源:

回頭探索JDBC及PreparedStatementSQL注入原理

概述 JDBC在我們學習J2EE的時候已經接觸到了,但是僅是照搬步驟書寫,其中的PreparedStatement防sql注入原理也是一知半解,然後就想回頭查資料及敲測試程式碼探索一下。再有就是我們在專案中有一些配置項是有時候要變動的,比如資料庫的資料來源,為了在修改配置時不改動編譯的程式碼,我們把要變動的

Python 資料庫,操作mysql,sql注入,引數化

  demo.py(防sql注入): from pymysql import * def main(): find_name = input("請輸入物品名稱:") # 建立Connection連線 conn = connect(host='local

mybatissql注入

MyBatis如何防止SQL注入      SQL注入是一種程式碼注入技術,用於攻擊資料驅動的應用,惡意的SQL語句被插入到執行的實體欄位中(例如,為了轉儲資料庫內容給攻擊者)。[摘自] SQL injection - Wikipedia SQL注入,

C# 使用引數化SQL語句(SQL注入攻擊)

“SQL注入攻擊”問題。我們在程式中存在著大量拼接產生SQL語句的程式碼,這就會導致一個比較大的安全隱患,容易遭受SQL注入攻擊。我們在程式碼中用的SQL語句是: string sqlStr = "select * from [Users] where User

web安全sql注入

所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令。具體來說,它是利用現有應用程式,將(惡意的)SQL命令注入到後臺資料庫引擎執行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得