Java防止SQL注入的几个途径_企业安全

java防sql注入,最简单的办法是杜绝sql拼接,sql注入攻击能得逞是因为在原有sql语句中加入了新的逻辑，如果使用preparedstatement来代替statement来执行sql语句，其后只是输入参数，sql注入攻击手段将无效，这是因为preparedstatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的sql注入已经挡住了, 在web层我们可以过滤用户的输入来防止sql注入比如用filter来过滤全局的表单参数
01 import java.io.ioexception;
02 import java.util.iterator;
03 import javax.servlet.filter;
04 import javax.servlet.filterchain;
05 import javax.servlet.filterconfig;
06 import javax.servlet.servletexception;
07 import javax.servlet.servletrequest;
08 import javax.servlet.servletresponse;
09 import javax.servlet.http.httpservletrequest;
10 import javax.servlet.http.httpservletresponse;
11 /**
12 * 通过filter过滤器来防sql注入攻击
13 *

14 */
15 public class sqlfilter implements filter {
16 private string inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,";
17 protected filterconfig filterconfig = null;
18 /**
19 * should a character encoding specified by the client be ignored?
20 */
21 protected boolean ignore = true;
22 public void init(filterconfig config) throws servletexception {
23 this.filterconfig = config;
24 this.inj_str = filterconfig.getinitparameter("keywords");
25 }
26 public void dofilter(servletrequest request, servletresponse response,
27 filterchain chain) throws ioexception, servletexception {
28 httpservletrequest req = (httpservletrequest)request;
29 httpservletresponse res = (httpservletresponse)response;
30 iterator values = req.getparametermap().values().iterator();//获取所有的表单参数
31 while(values.hasnext()){
32 string[] value = (string[])values.next();
33 for(int i = 0;i < value.length;i++){
34 if(sql_inj(value[i])){
35 //todo这里发现sql注入代码的业务逻辑代码
36 return;
37 }
38 }
39 }
40 chain.dofilter(request, response);
41 }
42 public boolean sql_inj(string str)
43 {
44 string[] inj_stra=inj_str.split("\\|");
45 for (int i=0 ; i < inj_stra.length ; i++ )
46 {
47 if (str.indexof(" "+inj_stra[i]+" ")>=0)
48 {
49 return true;
50 }
51 }
52 return false;
53 }
54 }

也可以单独在需要防范sql注入的javabean的字段上过滤：
1   /**
2   * 防止sql注入
3   *
4   * @param sql
5   * @return
6   */
7   public static string transactsqlinjection(string sql) {
8   return sql.replaceall(".*([';]+|(--)+).*", " ");
9   }

网管教你预防黑客DdoS攻击的技巧

网管教你预防黑客DdoS攻击的技巧DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性... 12-11... [阅读全文]

服务器绑定多IP有效防DDOS攻击

服务器绑定多IP有效防DDOS攻击分布式拒绝服务攻击(DDoS)是目前黑客经常采用而难以防范的攻击手段｡它的英文全称为Distributed D... [阅读全文]

比特币挖矿木马简单的预防方法

比特币挖矿木马简单的预防方法显卡挖掘虚拟货币比特币的效率远比 CPU 要高。如果你是一位 3D 游戏玩家，正好中了比特币挖矿木马，就会发现在玩游戏时会非常卡顿，下面与大家分享下比…

2013年06月12日 • 网络安全

运用动态安全域保护企业网的方法

运用动态安全域保护企业网的方法网络安全域是指同一系统内有相同的安全保护需求、相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，相同的网络安全域共享... [阅读全文]

Windows设置系统权限防止病毒的一些经验分享

Windows设置系统权限防止病毒的一些经验分享请确保您的硬盘分区为NTFS格式，并且在“文件夹选项”中去掉“简单文件共享”的勾选... 13-08-03 [阅读全文]

关注网银系统的安全：安全模型和架构设计的介绍

关注网银系统的安全：安全模型和架构设计的介绍随着网络的普及和金融业务的不断扩展，网上银行已经逐渐成为人们日常理财工具之一。... 12-07-18 [阅读全文]


验证码：

验证码：

Java防止SQL注入的几个途径

2012年08月10日 • 企业安全 •我要评论

相关文章:

比特币挖矿木马简单的预防方法

发表评论