javasql注入過濾

㈠ java中如何解決sql 注入漏洞

1、對傳遞過來的參數值段做過濾處理 包含sql操作關鍵字的幹掉！當然這個要符合你的業務需求
2、不要對sql語句做拼接處理 可以用類似 jdbc中的preparestatement動態sql技術 生成sql

3、對傳遞進來的參數值做字元串轉義 'sql do some' 讓資料庫把這段當成一段字元串處理 而不進行操作編譯

㈡ java防止SQL注入的幾個途徑

• java防SQL注入,最簡單的辦法是杜絕SQL拼接,SQL注入攻擊能得逞是因為在原有SQL語句中加入了新的邏輯，如果使用PreparedStatement來代替Statement來執行SQL語句，其後只是輸入參數，SQL注入攻擊手段將無效，這是因為PreparedStatement不允許在不同的插入時間改變查詢的邏輯結構,大部分的SQL注入已經擋住了,在WEB層我們可以過濾用戶的輸入來防止SQL注入比如用Filter來過濾全局的表單參數

• 01importjava.io.IOException;

• 02importjava.util.Iterator;

• 03importjavax.servlet.Filter;

• 04importjavax.servlet.FilterChain;

• 05importjavax.servlet.FilterConfig;

• 06importjavax.servlet.ServletException;

• 07importjavax.servlet.ServletRequest;

• 08importjavax.servlet.ServletResponse;

• 09importjavax.servlet.http.HttpServletRequest;

• 10importjavax.servlet.http.HttpServletResponse;

• 11/**

• 12*通過Filter過濾器來防SQL注入攻擊

• 13*

• 14*/

• {

• 16privateStringinj_str="'|and|exec|insert|select|delete|update|count|*|%

• |chr|mid|master|truncate|char|declare|;|or|-|+|,";
  

• =null;

• 18/**

• 19*?

• 20*/

• 21protectedbooleanignore=true;

• 22publicvoidinit(FilterConfigconfig)throwsServletException{

• 23this.filterConfig=config;

• 24this.inj_str=filterConfig.getInitParameter("keywords");

• 25}

• 26publicvoiddoFilter(ServletRequestrequest,ServletResponseresponse,

• 27FilterChainchain)throwsIOException,ServletException{

• 28HttpServletRequestreq=(HttpServletRequest)request;

• 29HttpServletResponseres=(HttpServletResponse)response;

• 30Iteratorvalues=req.getParameterMap().values().iterator();//獲取所有的表單參數

• 31while(values.hasNext()){

• 32String[]value=(String[])values.next();

• 33for(inti=0;i<value.length;i++){

• 34if(sql_inj(value[i])){

• 35//TODO這里發現sql注入代碼的業務邏輯代碼

• 36return;

• 37}

• 38}

• 39}

• 40chain.doFilter(request,response);

• 41}

• 42publicbooleansql_inj(Stringstr)

• 43{

• 44String[]inj_stra=inj_str.split("\|");

• 45for(inti=0;i<inj_stra.length;i++)

• 46{

• 47if(str.indexOf(""+inj_stra[i]+"")>=0)

• 48{

• 49returntrue;

• 50}

• 51}

• 52returnfalse;

• 53}

• 54}

• 也可以單獨在需要防範SQL注入的JavaBean的欄位上過濾：

• 1/**

• 2*防止sql注入

• 3*

• 4*@paramsql

• 5*@return

• 6*/

• (Stringsql){

• 8returnsql.replaceAll(".*([';]+|(--)+).*","");

• 9}

㈢ java拼接sql怎麼防止注入

使用Hibernate框架的SQL注入防範 Hibernate是目前使用最多的ORM框架，在Java Web開發中，很多時候不直接使用JDBC，而使用Hibernate來提高開發效率。
在Hibernate中，仍然不應該通過拼接HQL的方式，而應使用參數化的方式來防範SQL注入。有兩種方式，一種仍然是使用JDBC一樣的佔位符「?」，但更好的方式是使用Hibernate的命名參數，例如檢測用戶名和密碼是否正確，使用Hibernate可以寫成：
String queryStr = 「from user where username=:username 」+」password=:password」;
List result = session.createQuery(queryStr).setString("username", username).setString("password", password).list();

㈣ sql防注入幾種慣用策略

1.（簡單又有效的方法）PreparedStatement
採用預編譯語句集，它內置了處理SQL注入的能力，只要使用它的setXXX方法傳值即可。
使用好處：
(1).代碼的可讀性和可維護性.
(2).PreparedStatement盡最大可能提高性能.
(3).最重要的一點是極大地提高了安全性.
原理：
sql注入只對sql語句的准備(編譯)過程有破壞作用
而PreparedStatement已經准備好了,執行階段只是把輸入串作為數據處理,
而不再對sql語句進行解析,准備,因此也就避免了sql注入問題.
2.使用正則表達式過濾傳入的參數
要引入的包：
import java.util.regex.*;
正則表達式：
private String CHECKSQL = 「^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$」;
判斷是否匹配：
Pattern.matches(CHECKSQL,targerStr);
下面是具體的正則表達式：
檢測SQL meta-characters的正則表達式 ：
/(\%27)|(\』)|(\-\-)|(\%23)|(#)/ix
修正檢測SQL meta-characters的正則表達式 ：/((\%3D)|(=))[^\n]*((\%27)|(\』)|(\-\-)|(\%3B)|(:))/i
典型的SQL 注入攻擊的正則表達式 ：/\w*((\%27)|(\』))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix
檢測SQL注入，UNION查詢關鍵字的正則表達式 ：/((\%27)|(\』))union/ix(\%27)|(\』)
檢測MS SQL Server SQL注入攻擊的正則表達式：
/exec(\s|\+)+(s|x)p\w+/ix
等等…..

3.字元串過濾
比較通用的一個方法：
（||之間的參數可以根據自己程序的需要添加）
public static boolean sql_inj(String str){
String inj_str = "'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
String inj_stra[] = split(inj_str,"|");
for (int i=0 ; i < inj_stra.length ; i++ ){
if (str.indexOf(inj_stra[i])>=0){
return true;
}
}
return false;
}

4.jsp中調用該函數檢查是否包函非法字元

防止SQL從URL注入：
sql_inj.java代碼：
package sql_inj;
import java.net.*;
import java.io.*;
import java.sql.*;
import java.text.*;
import java.lang.String;
public class sql_inj{
public static boolean sql_inj(String str){
String inj_str = "'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
//這里的東西還可以自己添加
String[] inj_stra=inj_str.split("\\|");
for (int i=0 ; i < inj_stra.length ; i++ ){
if (str.indexOf(inj_stra[i])>=0){
return true;
}
}
return false;
}
}

5.JSP頁面判斷代碼：

使用javascript在客戶端進行不安全字元屏蔽
功能介紹：檢查是否含有」『」,」\\」,」/」
參數說明：要檢查的字元串
返回值：0：是1：不是
函數名是
function check(a){
return 1;
fibdn = new Array (」『」 ,」\\」,」/」);
i=fibdn.length;
j=a.length;
for (ii=0; ii＜i; ii++)
{ for (jj=0; jj＜j; jj++)
{ temp1=a.charAt(jj);
temp2=fibdn[ii];
if (tem』; p1==temp2)
{ return 0; }
}
}
return 1;
}

㈤ java怎樣過濾危險字元，該怎麼解決

就WEB應用來說，所謂危險的字元一般就是兩種
一個是SQL注入，一個是HTML語法注入
SQL注入主流的框架都可以搞定，JDBC永遠都使用preparedstatement就可以防止所有的sql注入，關鍵是用戶輸入都要通過佔位符往裡放，就自動的替換掉了特殊字元了。hibernate等orm框架都會搞定這個問題

HTML語法注入是指用戶輸入的html代碼回顯出來，這樣如果不轉義就可以破壞頁面的結構或者注入腳本。所以現在的網站都不允許用戶直接輸入html代碼了，現在都是一些UBB標簽來完成一些效果。HTML主要最好的解決辦法是在回顯的時候進行轉義，所有的MVC框架或者展示層框架都有HTML轉義的支持，包括struts,spring,volicty等，注意觀察他們用於顯示的標簽

㈥ 什麼是sql注入，如何防止sql注入

SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字元串，最終達到欺騙伺服器執行惡意的SQL命令。具體來說，它是利用現有應用程序，將（惡意）的SQL命令注入到後台資料庫引擎執行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網站上的資料庫，而不是按照設計者意圖去執行SQL語句。比如先前的很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字元暴出的，這類表單特別容易受到SQL注入式攻擊．

SQL注入攻擊實例：

比如在一個登錄界面，要求輸入用戶名和密碼：

可以這樣輸入實現免帳號登錄：

用戶名： 『or 1 = 1 –

密 碼：

點登陸,如若沒有做特殊處理,那麼這個非法用戶就很得意的登陸進去了.(當然現在的有些語言的資料庫API已經處理了這些問題)

這是為什麼呢? 下面我們分析一下：

從理論上說，後台認證程序中會有如下的SQL語句：

String sql = "select * from user_table where username=

' "+userName+" ' and password=' "+password+" '";

當輸入了上面的用戶名和密碼，上面的SQL語句變成：

SELECT * FROM user_table WHERE username=

'』or 1 = 1 -- and password='』

分析SQL語句：

條件後面username=」or 1=1 用戶名等於 」 或1=1 那麼這個條件一定會成功；

然後後面加兩個-，這意味著注釋，它將後面的語句注釋，讓他們不起作用，這樣語句永遠都能正確執行，用戶輕易騙過系統，獲取合法身份。

這還是比較溫柔的，如果是執行

SELECT * FROM user_table WHERE

username='' ;DROP DATABASE (DB Name) --' and password=''

….其後果可想而知…

防SQL注入：

下面我針對JSP，說一下應對方法：

1.（簡單又有效的方法）PreparedStatement

採用預編譯語句集，它內置了處理SQL注入的能力，只要使用它的setXXX方法傳值即可。

使用好處：

(1).代碼的可讀性和可維護性.

(2).PreparedStatement盡最大可能提高性能.

(3).最重要的一點是極大地提高了安全性.

原理：

sql注入只對sql語句的准備(編譯)過程有破壞作用

而PreparedStatement已經准備好了,執行階段只是把輸入串作為數據處理,

而不再對sql語句進行解析,准備,因此也就避免了sql注入問題.

2.使用正則表達式過濾傳入的參數

要引入的包：

import java.util.regex.*;

正則表達式：

private String CHECKSQL = 「^(.+)\sand\s(.+)|(.+)\sor(.+)\s$」;

判斷是否匹配：

Pattern.matches(CHECKSQL,targerStr);

下面是具體的正則表達式：

檢測SQL meta-characters的正則表達式 ：

/(\%27)|(』)|(--)|(\%23)|(#)/ix

修正檢測SQL meta-characters的正則表達式 ：/((\%3D)|(=))[^ ]*((\%27)|(』)|(--)|(\%3B)|(:))/i

典型的SQL 注入攻擊的正則表達式 ：/w*((\%27)|(』))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

檢測SQL注入，UNION查詢關鍵字的正則表達式 ：/((\%27)|(』))union/ix(\%27)|(』)

檢測MS SQL Server SQL注入攻擊的正則表達式：

/exec(s|+)+(s|x)pw+/ix

等等…..

3.字元串過濾

比較通用的一個方法：

（||之間的參數可以根據自己程序的需要添加）

publicstaticbooleansql_inj(Stringstr)
{
Stringinj_str="'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
Stringinj_stra[]=split(inj_str,"|");
for(inti=0;i<inj_stra.length;i++)
{
if(str.indexOf(inj_stra[i])>=0)
{
returntrue;
}
}
returnfalse;
}

㈦ java中preparedstatement為什麼可以防止sql注入

其實是預編譯功能，用preparedstatement就會把sql的結構給資料庫預編譯。

SQL注入 攻 擊 是利用是指利用 設計 上的漏洞，在目 標 服 務 器上運行 Sql語 句以及 進 行其他方式的 攻 擊 ，
動態 生成 Sql語 句 時 沒有 對 用 戶輸 入的數據 進 行 驗證 是 Sql注入 攻 擊 得逞的主要原因。
對 於 JDBC而言， SQL注入 攻 擊 只 對 Statement有效， 對 PreparedStatement 是無效的， 這 是因 為 PreparedStatement 不允 許 在不同的插入 時間 改 變查詢 的 邏輯結 構。
如 驗證 用 戶 是否存在的 SQL語 句 為 ：
select count(*) from usertable where name='用 戶 名 ' and pswd='密 碼 '
如果在 用 戶 名欄位 中 輸 入 ' or '1'='1' or '1'='1
或是在 密 碼 欄位 中 輸 入 1' or '1'='1
將 繞過驗證 ，但 這種 手段只 對 只 對 Statement有效， 對 PreparedStatement 無效。
PreparedStatement 相 對 Statement有以下 優 點：
1.防注入攻擊
2.多次運行速度快
3.防止資料庫緩沖區溢出
4.代 碼 的可讀性可維護性好

加油！