java如何用正则表达式防止sql注入
时间: 2023-07-04 12:06:18 浏览: 102
Java中可以使用正则表达式来防止SQL注入攻击,具体方法如下:
1. 对用户输入的字符串进行过滤,只允许输入数字、字母和部分特殊字符,例如下面的正则表达式:
```
^[a-zA-Z0-9_,./<>?;':"[]{}\|-]*$
```
该正则表达式表示只允许输入大小写字母、数字和部分特殊字符。
2. 对用户输入的SQL语句进行检查,只允许包含特定的关键字,例如SELECT、UPDATE、INSERT等。可以使用下面的正则表达式:
```
^(select|update|insert|delete)[\s\S]*$
```
该正则表达式表示只允许输入SELECT、UPDATE、INSERT和DELETE关键字。
3. 对用户输入的参数进行转义,将特殊字符进行转义,例如将单引号转义为两个单引号,将双引号转义为两个双引号等。可以使用Java提供的PreparedStatement类来进行转义,例如:
```java
PreparedStatement ps = conn.prepareStatement("SELECT * FROM table WHERE name = ?");
ps.setString(1, name.replaceAll("[\"']", ""));
ResultSet rs = ps.executeQuery();
```
在上面的代码中,使用了replaceAll方法将单引号和双引号替换为空字符串,以防止SQL注入攻击。同时,使用了PreparedStatement类来进行参数转义,避免直接拼接SQL语句导致注入攻击。
相关问题
java 正则表达式防sql注入
Java正则表达式可以用于防止SQL注入攻击。以下是一个使用Java正则表达式防止SQL注入攻击的示例:
```java
import java.util.regex.Matcher;
import java.util.regex.Pattern;
public class SQLInjection {
public static void main(String[] args) {
String input = "SELECT * FROM users WHERE username = 'admin' AND password = 'password' OR 1=1';";
String reg = "\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b|(\\*|;|\\+|'|%)";
Pattern pattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);
Matcher matcher = pattern.matcher(input);
if (matcher.find()) {
System.out.println("SQL注入攻击已被检测到!");
} else {
System.out.println("未检测到SQL注入攻击。");
}
}
}
```
该示例使用正则表达式来检查输入字符串中是否包含SQL注入攻击的关键字。如果找到了任何一个关键字,则认为发生了SQL注入攻击。否则,认为输入是安全的。
java 防sql注入的正则表达式
以下是两个Java防止SQL注入的正则表达式:
1. 引用中的正则表达式:
```java
private static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|" + "(\\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";
private static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);
private boolean isValid(String str) {
if (sqlPattern.matcher(str).find()) {
logger.error("未能通过过滤器:str=" + str);
return false;
}
return true;
}
```
2. 引用中的正则表达式:
```java
public static boolean containsSqlInjection(Object obj){
Pattern pattern= Pattern.compile("\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b|(\\*|;|\\+|'|%)");
Matcher matcher=pattern.matcher(obj.toString());
return matcher.find();
}
```