Java防止SQL注入的几个途径

Java防SQL注入，最简单的办法是杜绝SQL拼接，SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑，如果使用PreparedStatement来代替Statement来执行SQL语句，其后只是输入参数，SQL注入攻击手段将无效，这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构，大部分的SQL注入已经挡住了，在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。

公司主营业务：成都网站建设、成都网站设计、移动网站开发等业务。帮助企业客户真正实现互联网宣传，提高企业的竞争能力。创新互联是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化，感谢他们对我们的高要求，感谢他们从不同领域给我们带来的挑战，让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。创新互联推出洛龙免费做网站回馈大家。

 
 
 
  
  
  
import java.io.IOException;  
  
  
  
import java.util.Iterator;  
  
  
  
import javax.servlet.Filter;  
  
  
  
import javax.servlet.FilterChain;  
  
  
  
import javax.servlet.FilterConfig;  
  
  
  
import javax.servlet.ServletException;  
  
  
  
import javax.servlet.ServletRequest;  
  
  
  
import javax.servlet.ServletResponse;  
  
  
  
import javax.servlet.http.HttpServletRequest;  
  
  
  
import javax.servlet.http.HttpServletResponse;  
  
  
  
/**  
  
  
  
* 通过Filter过滤器来防SQL注入攻击  
  
  
  
*  
  
  
  
*/ 
  
  
  
public class SQLFilter implements Filter {  
  
  
  
private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,";  
  
  
  
protected FilterConfig filterConfig = null;  
  
  
  
/**  
  
  
  
* Should a character encoding specified by the client be ignored?  
  
  
  
*/ 
  
  
  
protected boolean ignore = true;  
  
  
  
public void init(FilterConfig config) throws ServletException {  
  
  
  
this.filterConfig = config;  
  
  
  
this.inj_str = filterConfig.getInitParameter("keywords");  
  
  
  
}  
  
  
  
public void doFilter(ServletRequest request, ServletResponse response,  
  
  
  
FilterChain chain) throws IOException, ServletException {  
  
  
  
HttpServletRequest req = (HttpServletRequest)request;  
  
  
  
HttpServletResponse res = (HttpServletResponse)response;  
  
  
  
Iterator values = req.getParameterMap().values().iterator();//获取所有的表单参数  
  
  
  
while(values.hasNext()){  
  
  
  
String[] value = (String[])values.next();  
  
  
  
for(int i = 0;i < value.length;i++){  
  
  
  
if(sql_inj(value[i])){  
  
  
  
//TODO这里发现sql注入代码的业务逻辑代码  
  
  
  
return;  
  
  
  
}  
  
  
  
}  
  
  
  
}  
  
  
  
chain.doFilter(request, response);  
  
  
  
}  
  
  
  
public boolean sql_inj(String str)  
  
  
  
{  
  
  
  
String[] inj_stra=inj_str.split("\\|");  
  
  
  
for (int i=0 ; i < inj_stra.length ; i++ )  
  
  
  
{  
  
  
  
if (str.indexOf(" "+inj_stra[i]+" ")>=0)  
  
  
  
{  
  
  
  
return true;  
  
  
  
}  
  
  
  
}  
  
  
  
return false;  
  
  
  
}  
  
  
  
} 
 
 

也可以单独在需要防范SQL注入的JavaBean的字段上过滤：

 
 
 
  
  
  
/**  
  
  
  
* 防止sql注入  
  
  
  
*  
  
  
  
* @param sql  
  
  
  
* @return  
  
  
  
*/ 
  
  
  
public static String TransactSQLInjection(String sql) {  
  
  
  
return sql.replaceAll(".*([';]+|(--)+).*", " ");  
  
  
  
} 
 
 

网站栏目：Java防止SQL注入的几个途径
本文链接：http://www.csdahua.cn/qtweb/news43/214143.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网