java sql注入

时间: 2024-06-25 22:01:13 浏览: 257

java sql注入l

3星 · 编辑精心推荐

package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字，跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求中的参数中含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验 52 protected static boolean sqlValidate(String str) { 53 str = str.toLowerCase();//统一转为小写 54 String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" + 55 "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" + 56 "table|from|grant|use|group_concat|column_name|" + 57 "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" + 58 "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字，可以手动添加 59 String[] badStrs = badStr.split("\\|"); 60 for (int i = 0; i < badStrs.length; i++) { 61 if (str.indexOf(badStrs[i]) >= 0) { 62 return true; 63 } 64 } 65 return false; 66 } 67 } 68 69 70  71  72 <filter> 73 <filter-name>antiSqlInjection</filter-name> 74 <filter-class>com.tarena.dingdang.filter.AntiSqlInjectionfilter</filter-class> 75 </filter> 76 <filter-mapping> 77 <filter-name>antiSqlInjection</filter-name> 78 <url-pattern>/*</url-pattern> 79 </filter-mapping>

SQL注入（SQL Injection）是一种常见的网络安全漏洞，发生在应用程序没有正确验证或转义用户输入时，恶意用户可以利用这种方式执行任意SQL查询。攻击者可以通过构造特殊格式的输入数据，将这些数据作为SQL命令的一部分，欺骗应用程序执行原本不应该执行的操作。以下是SQL注入的基本原理和防范措施： 1. 原理：攻击者输入的数据可能会被应用程序误认为SQL语法，比如插入、修改或删除数据库中的记录。例如，攻击者可能会输入`' OR 1=1 --`，这会使得原本的查询变成`SELECT * FROM users WHERE username = 'username' OR 1=1 --`，从而绕过权限控制获取所有数据。 2. 防范方法： - 参数化查询（PreparedStatement）或预编译语句：使用占位符或参数化的方式提交SQL，数据库会自动处理输入的安全性。 - 输入验证：对用户输入进行严格的验证和过滤，确保只接受预期的格式和内容。 - 使用ORM框架：许多现代框架提供了安全的API来操作数据库，避免直接拼接SQL字符串。 - 采用安全的编码技术：如对特殊字符进行转义，减少恶意代码的执行机会。

阅读全文

java sql注入

相关推荐

sql injection 注入

sqlninja sql注入

Java SQL注入防御Filter实现与配置详解

java防止SQL注入

java 防sql注入代码

JAVA实现sql注入点检测

java防止sql注入.pdf

java防sql注入攻击过滤器

Java防止SQL注入的几个途径

网上书店 java sql java sql 网上书店 java sql

sql注入Java过滤器

Java中SQL注入的防范与解决方法

JAVA代码审计之SQL注入

java过滤器防sql注入

java+sql.rar_SQL java_java s_java sql_java sql 简单_java.sql.

基于java的sql注入漏洞扫描工具.pdf

java-sql-inspector：用于测试Java代码是否存在SQL注入漏洞的实用程序

防止sql注入的java代码

Java防范SQL注入：策略与示例

最新推荐

Java防止SQL注入的几个途径

mybatis防止SQL注入的方法实例详解

SQL注入之基于布尔的盲注详解

有效防止SQL注入的5种方法总结

DB2数据库SQL注入语句

BottleJS快速入门：演示JavaScript依赖注入优势

管理建模和仿真的文件

【版本控制】：R语言项目中Git与GitHub的高效应用

RT-DETR如何实现在实时目标检测中既保持精度又降低计算成本？请提供其技术实现的详细说明。

vConsole插件使用教程：输出与复制日志文件