博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Java防止SQL注入
阅读量:4959 次
发布时间:2019-06-12

本文共 1593 字,大约阅读时间需要 5 分钟。

SQL 注入简介:

        SQL注入是最常见的攻击方式之一,它不是利用或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:

        比如在一个登陆界面,要求用户输入用户名和密码:

        用户名:     ' or 1=1 --   

        密     码:   

点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:

        String sql="select * from users where username='"+userName+"' and password='"+password+"' "

        那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的API已经处理了这些问题)

        这是为什么呢?我们来看看这条语句,将用户输入的数据替换后得到这样一条语句:

        select * from users where username='' or 1=1 --' and password=''

        为了更明白些,可以将其复制到SQL分析器中,将会发现,这条语句会将数据库的数据全部读出来,为什么呢?

        很简单,看到条件后面 username='' or 1=1 用户名等于 '' 或 1=1 那么这个条件一定会成功,然后后面加两个-,这意味着什么?没错,注释,它将后面的语句注释,让他们不起作用,这样就可以顺利的把数据库中的数据读取出来了。

        这还是比较温柔的,如果是执行 

        select * from users where username='' ;DROP Database    (DB Name) --' and password=''

        .......其他的您可以自己想象。。。

        那么我们怎么来处理这种情况呢?下面我以为列给大家两种简单的方法:

第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可

(尽量使用预编译SQL语句:由于动态SQL语句是引发SQL注入的根源。应使用预编译语句来组装SQL查询。)

        String sql= "select * from users where username=? and password=?;
        PreparedStatement preState = conn.prepareStatement(sql);
        preState.setString(1, userName);
        preState.setString(2, password);
        ResultSet rs = preState.executeQuery();
        ...

第二种是采用正则表达式将包含有 单引号('),分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入

        public static String TransactSQLInjection(String str)
        {
              return str.replaceAll(".*([';]+|(--)+).*", " ");

           // 我认为 应该是return str.replaceAll("([';])+|(--)+","");

        }

        userName=TransactSQLInjection(userName);

        password=TransactSQLInjection(password);

        String sql="select * from users where username='"+userName+"' and password='"+password+"' "
        Statement sta = conn.createStatement();
        ResultSet rs = sta.executeQuery(sql);

转载于:https://www.cnblogs.com/good-tomorrow/p/10756393.html

你可能感兴趣的文章
HDU6203 ping ping ping
查看>>
《人人都是产品经理》书籍目录
查看>>
如何在git bash中运行mysql
查看>>
OO第三阶段总结
查看>>
构建之法阅读笔记02
查看>>
DataTable和 DataRow的 区别与联系
查看>>
检索COM 类工厂中CLSID 为 {00024500-0000-0000-C000-000000000046}的组件时失败
查看>>
mysql数据库中数据类型
查看>>
Fireworks基本使用
查看>>
两台电脑间的消息传输
查看>>
Linux 标准 I/O 库
查看>>
.net Tuple特性
查看>>
Java基础常见英语词汇
查看>>
iOS并发编程笔记【转】
查看>>
08号团队-团队任务5:项目总结会
查看>>
SQL2005 删除空白行null
查看>>
mysql备份与恢复
查看>>
混沌分形之迭代函数系统(IFS)
查看>>
边框圆角Css
查看>>
使用Busybox制作根文件系统
查看>>