Java防止SQL注入的几个途径

开发 后端
本文将介绍Java如何去防止SQL的注入,简单的SQL拼接方法和代用代替法都可以让SQL注入攻击手段无效。下面我们就来看看实现的过程吧。

Java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构,大部分的SQL注入已经挡住了,在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。

  1. import java.io.IOException;  
  2. import java.util.Iterator;  
  3. import javax.servlet.Filter;  
  4. import javax.servlet.FilterChain;  
  5. import javax.servlet.FilterConfig;  
  6. import javax.servlet.ServletException;  
  7. import javax.servlet.ServletRequest;  
  8. import javax.servlet.ServletResponse;  
  9. import javax.servlet.http.HttpServletRequest;  
  10. import javax.servlet.http.HttpServletResponse;  
  11. /**  
  12. * 通过Filter过滤器来防SQL注入攻击  
  13. *  
  14. */ 
  15. public class SQLFilter implements Filter {  
  16. private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,";  
  17. protected FilterConfig filterConfig = null;  
  18. /**  
  19. * Should a character encoding specified by the client be ignored?  
  20. */ 
  21. protected boolean ignore = true;  
  22. public void init(FilterConfig config) throws ServletException {  
  23. this.filterConfig = config;  
  24. this.inj_str = filterConfig.getInitParameter("keywords");  
  25. }  
  26. public void doFilter(ServletRequest request, ServletResponse response,  
  27. FilterChain chain) throws IOException, ServletException {  
  28. HttpServletRequest req = (HttpServletRequest)request;  
  29. HttpServletResponse res = (HttpServletResponse)response;  
  30. Iterator values = req.getParameterMap().values().iterator();//获取所有的表单参数  
  31. while(values.hasNext()){  
  32. String[] value = (String[])values.next();  
  33. for(int i = 0;i < value.length;i++){  
  34. if(sql_inj(value[i])){  
  35. //TODO这里发现sql注入代码的业务逻辑代码  
  36. return;  
  37. }  
  38. }  
  39. }  
  40. chain.doFilter(request, response);  
  41. }  
  42. public boolean sql_inj(String str)  
  43. {  
  44. String[] inj_stra=inj_str.split("\\|");  
  45. for (int i=0 ; i < inj_stra.length ; i++ )  
  46. {  
  47. if (str.indexOf(" "+inj_stra[i]+" ")>=0)  
  48. {  
  49. return true;  
  50. }  
  51. }  
  52. return false;  
  53. }  

也可以单独在需要防范SQL注入的JavaBean的字段上过滤:

  1. /**  
  2. * 防止sql注入  
  3. *  
  4. * @param sql  
  5. * @return  
  6. */ 
  7. public static String TransactSQLInjection(String sql) {  
  8. return sql.replaceAll(".*([';]+|(--)+).*"" ");  

原文链接:http://helloklzs.iteye.com/blog/1329578

【编辑推荐】

  1. 使用Java 2D绘制黑白太极图案
  2. 深入Java虚拟机之内存优化
  3. 深入Java虚拟机之虚拟机体系结构
  4. Java与XML:采用DOM操作XML文件
  5. 从Java的角度理解Ext的extend
责任编辑:林师授 来源: helloklzs的博客
相关推荐

2010-10-22 15:18:18

SQL注入漏洞

2020-09-28 09:30:13

mybatis

2020-08-07 08:13:08

SQL攻击模式

2009-02-04 16:51:48

2009-07-24 16:59:57

iBatis模糊查询

2017-03-01 14:16:20

2009-03-10 08:05:19

2014-05-26 09:32:15

2013-01-05 13:49:00

2013-04-26 11:26:00

2013-01-15 10:53:36

2013-01-16 14:29:22

2023-08-01 08:00:00

SQLWeb应用安全

2009-03-14 16:50:38

网站安全meter程序

2023-03-10 19:36:47

2009-11-12 14:56:47

2010-12-20 16:04:30

2020-10-10 10:10:07

安全漏洞技术

2020-08-30 14:34:42

Java语言安全编码web安全

2017-08-10 10:23:59

点赞
收藏

51CTO技术栈公众号