淘先锋技术网

首页 1 2 3 4 5 6 7

java如何防止sql注入?

java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数

01 import java.io.IOException;

02 import java.util.Iterator;

03 import javax.servlet.Filter;

04 import javax.servlet.FilterChain;

05 import javax.servlet.FilterConfig;

06 import javax.servlet.ServletException;

07 import javax.servlet.ServletRequest;

08 import javax.servlet.ServletResponse;

09 import javax.servlet.http.HttpServletRequest;

10 import javax.servlet.http.HttpServletResponse;

11 /**

12 * 通过Filter过滤器来防SQL注入攻击

13 *

14 */

15 public class SQLFilter implements Filter {

16 private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%

chr|mid|master|truncate|char|declare|;|or|-|+|,";

17 protected FilterConfig filterConfig = null;

18 /**

19 * Should a character encoding specified by the client be ignored?

20 */

21 protected boolean ignore = true;

22 public void init(FilterConfig config) throws ServletException {

23 this.filterConfig = config;

24 this.inj_str = filterConfig.getInitParameter("keywords");

25 }

26 public void doFilter(ServletRequest request, ServletResponse response,

27 FilterChain chain) throws IOException, ServletException {

28 HttpServletRequest req = (HttpServletRequest)request;

29 HttpServletResponse res = (HttpServletResponse)response;

30 Iterator values = req.getParameterMap().values().iterator();//获取所有的表单参数

31 while(values.hasNext()){

32 String[] value = (String[])values.next();

33 for(int i = 0;i < value.length;i++){

34 if(sql_inj(value[i])){

35 //TODO这里发现sql注入代码的业务逻辑代码

36 return;

37 }

38 }

39 }

40 chain.doFilter(request, response);

41 }

42 public boolean sql_inj(String str)

43 {

44 String[] inj_stra=inj_str.split("\\|");

45 for (int i=0 ; i < inj_stra.length ; i++ )

46 {

47 if (str.indexOf(" "+inj_stra[i]+" ")>=0)

48 {

学习资源

百度搜索圈T社区(www.aiquanti.com) 免费视频教程

方法/步骤

1/4

java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数 。下面就举三个例子来说明一下:

2/4

第一种:

采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可,如下所示:

String sql= "select * from users where username=? and password=?;PreparedStatement preState = conn.prepareStatement(sql);preState.setString(1, userName);preState.setString(2, password);ResultSet rs = preState.executeQuery();...

3/4

第二种:

采用正则表达式将包含有 单引号('),分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入,如下所示:

public static String TransactSQLInjection(String str)

{

      return str.replaceAll(".*([';]+|(--)+).*", " ");

}

userName=TransactSQLInjection(userName);

password=TransactSQLInjection(password);

String sql="select * from users where username='"+userName+"' and password='"+password+"' "

Statement sta = conn.createStatement();

ResultSet rs = sta.executeQuery(sql);

4/4

第三种:

使用Hibernate框架的SQL注入防范 Hibernate是目前使用最多的ORM框架,在Java Web开发中,很多时候不直接使用JDBC,而使用Hibernate来提高开发效率。

在Hibernate中,仍然不应该通过拼接HQL的方式,而应使用参数化的方式来防范SQL注入。有两种方式,一种仍然是使用JDBC一样的占位符“?”,但更好的方式是使用Hibernate的命名参数,例如检测用户名和密码是否正确,使用Hibernate可以写成如下:

String queryStr = “from user where username=:username ”+”password=:password”;

List result = session.createQuery(queryStr).setString("username", username).setString("password", password).list();