2. 程式人生 > >jdbc防止sql注入方法總結

jdbc防止sql注入方法總結

阿新 發佈:2019-01-03

參考:http://hi.baidu.com/wangyue06/item/c00c824b35cf740ae835049c

1.傳統JDBC,採用PreparedStatement 。預編譯語句集,內建了處理SQL注入的能力

  String sql= "select * from users where username=? and password=?";    //如果把改為:username1,按引數名繫結
        PreparedStatement preState = conn.prepareStatement(sql);
        preState.setString(1, userName);                         //則此處變為.setString("username1
 
",username)
        preState.setString(2, password);
        ResultSet rs = preState.executeQuery();

2. 採用正則表示式,將輸入的所有特殊符號轉換為空格或其他字元

複製程式碼 
public static String TransactSQLInjection(String str)
        {
              return str.replaceAll(".*([';]+|(--)+).*", " ");
           // 我認為 應該是return str.replaceAll("
 
([';])+|(--)+","");-->這是原作者的註釋,個人不是很贊同。
        }
        userName=TransactSQLInjection(userName);
        password=TransactSQLInjection(password);
        String sql="select * from users where username='"+userName+"' and password='"+password+"' ";
        Statement sta = conn.createStatement();
        ResultSet rs 
 
= sta.executeQuery(sql);
複製程式碼

參考:http://blog.csdn.net/fufengrui/article/details/7740288

3. JAVA Web中,編寫Fileter,實現對renquest請求中引數的不合法字元替換

複製程式碼 
for(String word : invalidsql){  
                if(word.equalsIgnoreCase(value) || value.contains(word)){  
                    if(value.contains("<")){  
                        value = value.replace("<", "<");     //這個個人認為括號中第二個<應該替換成其他符號 
                    }  
                    if(value.contains(">")){  
                        value = value.replace(">", ">");  
                    }  
                    request.getSession().setAttribute("sqlInjectError", "the request parameter \""+value+"\" contains keyword: \""+word+"\"");  
                    response.sendRedirect(request.getContextPath()+error);  
                    return;  
                }  
            }
複製程式碼

4.hibernate 參考:http://www.cnblogs.com/yhason/archive/2012/06/07/2540840.html

相關推薦

jdbc防止sql注入方法總結

參考:http://hi.baidu.com/wangyue06/item/c00c824b35cf740ae835049c 1.傳統JDBC,採用PreparedStatement 。預編譯語句集,內建了處理SQL注入的能力 String sql= "selec

Mybatis like 查詢 防止SQL注入方法相關原理和解決方法整理

SQL注入:引自百度百科: 所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令。具體來說,它是利用現有應用程式,將(惡意)的

PHP最全防止sql注入方法

(1)mysql_real_escape_string -- 轉義 SQL 語句中使用的字串中的特殊字元,並考慮到連線的當前字符集使用方法如下:$sql = "select count(*

PHP實現防止SQL注入的2種方法

PHP簡單實現防止SQL注入的方法,結合例項形式分析了PHP防止SQL注入的常用操作技巧與注意事項,PHP原始碼備有詳盡註釋便於理解,需要的朋友可以參考下!   方法一:execute代入引數 $var_Value) { //獲取POST陣列最大值 $num = $nu

PHP使用PDO簡單實現防止SQL注入方法

方法一:execute代入引數  <?php if(count($_POST)!= 0) { $host = 'aaa'; $database = 'bbb'; $username = 'ccc'; $password = '***'; $num

轉:PHP中防止SQL注入方法

【一、在伺服器端配置】        安全,PHP程式碼編寫是一方面,PHP的配置更是非常關鍵。 我們php手手工安裝的,php的預設配置檔案在 /usr/local/apache2/conf/php.ini,我們最主要

java防止SQL注入的兩種方法

1.採用預編譯語句集,它內建了處理SQL注入的能力,只要使用它的setString方法傳值即可: String sql= "select * from users where username=? and password=?; PreparedStatement

玩轉JDBC打造資料庫操作萬能工具類JDBCUtil,加入了高效的資料庫連線池,利用了引數繫結有效防止SQL注入

SELECT * FROM emp_test 成功查詢到了14行資料 第1行:{DEPT_TEST_ID=10, EMP_ID=1001, SALARY=10000, HIRE_DATE=2010-01-12, BONUS=2000, MANAGER=1005, JOB=Manager, NAME=張無忌}

Python中防止sql注入方法詳解

SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師程式設計時的疏忽,通過SQL語句,實現無帳號登入,甚至篡改資料庫。下面這篇文章主要給大家介紹了關於Python中防止sql注入的方法,需要的朋友可以參考下。   前言 大家

淺析php過濾html字串,防止SQL注入方法

本篇文章是對php中過濾html字串,防止SQL注入的方法進行了詳細的分析介紹,需要的朋友參考下   批量過濾post,get敏感資料 複製程式碼 程式碼如下: $_GET = stripslashes_array($_GET); $_POST = st

防止SQL注入的五種方法

一、SQL注入簡介     SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師程式設計時的疏忽,通過SQL語句,實現無帳號登入,甚至篡改資料庫。 二、SQL注入攻擊的總體思路 1.尋找到SQL注入的位置 2.判斷伺服器型別和後臺資料庫型別 3.針對不通的伺服器和

JDBC:使用PreparedStatement防止SQL注入

   1.關於SQL注入 什麼是SQL注入: 由於jdbc程式在執行的過程中sql語句在拼裝時使用了由頁面傳入引數,如果使用者惡意傳入一些sql中的特殊關鍵字,會導致sql語句意義發生變化,這種攻擊方式就叫做sql注入,參考使用者註冊登入案例。   首先看一下以下程式碼:

JDBC 增、查、刪、改 和 防止sql注入登入

package cn.mxl.jdbc04; import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java.sql.Statement

php中防止SQL注入的最好方法是什麼?

如果使用者輸入的是直接插入到一個SQL語句中的查詢,應用程式會很容易受到SQL注入,例如下面的例子: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO table (column) VAL

JDBC學習之路(三)防止SQL注入,PreparedStatement探索

   現在登入註冊或者其他很多地方遇到使用者輸入的內容可以直接拿到資料庫內部去進行執行SQL語句,這個是一項很危險的運動,因為你不知道使用者會輸入什麼,如果使用者對SQL語句很熟悉,他就可以在輸入的時候加上''兩個冒號作為特殊字元,這樣的話會讓計算機認為他輸入的是SQL語句

防止SQL注入攻擊的一些方法小結

開頭語:SQL注入攻擊的危害性很大。在講解其防止辦法之前,資料庫管理員有必要先了解一下其攻擊的原理。這有利於管理員採取有針對性的防治措施 -----解決方案-------------------------------------------------------- 過濾

Hibernate防止SQL注入攻擊的方法

如果在查詢欄位中輸入單引號"'",則會報錯,這是因為輸入的單引號和其他的sql組合在一起程式設計了一個新的sql,實際上這就是SQL注入漏洞,後來我在前臺和後臺都對輸入的字元進行了判斷。 永遠也不要寫這樣的程式碼:      String queryString = "f

PHP中防止SQL注入方法

【一、在伺服器端配置】        安全,PHP程式碼編寫是一方面,PHP的配置更是非常關鍵。 我們php手手工安裝的,php的預設配置檔案在 /usr/local/apache2/conf/php.ini,我們最主要就是要配置php.ini中的內容,讓我們執行 php能夠更安全。整個P

nodejs中查詢mysql防止SQL注入

Performing queries The most basic way to perform a query is to call the .query() method on an object (like a Connection, Pool, or PoolNamespace inst

Mybatis防止sql注入原理

     SQL 注入是一種程式碼注入技術,用於攻擊資料驅動的應用,惡意的SQL 語句被插入到執行的實體欄位中(例如,為了轉儲資料庫內容給攻擊者)。[摘自]  SQL注入 - 維基百科SQL注入,大家都不陌生,是一種常見的攻擊方式。攻擊者在介面的表單資訊或UR