如何防止sql注入
注入法: 从理论上说,认证网页中会有型如: select * from admin where username='XXX' and password='YYY' 的语句,若在正式运行此句以前,若是没有进行必要的字符过滤,则很容易实施SQL注入。 如在用户名文本框内输入:abc’ or 1=1-- 在密码框内输入:123 则SQL语句变成: select * from admin where username='abc’ or 1=1 and password='123’ 无论用户输入任何用户名与密码,此语句永远都能正确执行,用户轻易骗过系统,获取合法身份。java
猜解法: 基本思路是:猜解全部数据库名称,猜出库中的每张表名,分析多是存放用户名与密码的表名,猜出表中的每一个字段名,猜出表中的每条记录内容。 还有一种方式能够得到你的数据库名和每张表的名。 就是经过在形如:http://www. .cn/news?id=10'的方式来经过报错得到你的数据库名和表名!正则表达式
对于jsp而言咱们通常采起一下策略来应对:sql
一、PreparedStatement 若是你已是稍有水平开发者,你就应该始终以PreparedStatement代替Statement. 如下是几点缘由 1)、代码的可读性和可维护性. 2)、PreparedStatement尽最大可能提升性能. 3)、最重要的一点是极大地提升了安全性. 到目前为止,有一些人(包括本人)连基本的恶义SQL语法都不知道. String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'"; 若是咱们把[' or '1' = '1]做为name传入进来.密码随意,看看会成为何? select * from tb_name = 'or '1' = '1' and passwd = '随意' ; 由于'1'='1'确定成立,因此能够任何经过验证.更有甚者: 把['; drop table tb_name; ]做为varpasswd传入进来,则: select * from tb_name = '随意' and passwd = ''; drop table tb_name; 有些数据库是不会让你成功的,但也有不少数据库就可使这些语句获得执行. 而若是你使用预编译语句.你传入的任何内容就不会和原来的语句发生任何匹配的关系.(前提是数据库自己支持预编译,但上前可能没有什么服务端数据库不支持编译了,只有少数的桌面数据库,就是直接文件访问的那些只要全使用预编译语句,你就用不着对传入的数据作任何过虑.而若是使用普通的 statement,有可能要对drop,; 等作费尽心机的判断和过虑.数据库
二、正则表达式 2.一、检测SQL meta-characters的正则表达式 /(\%27)|(\')|(\-\-)|(\%23)|(#)/ix 2.二、修正检测SQL meta-characters的正则表达式 /((\%3D)|(=))[^\n]*((\%27)|(\')|(\-\-) |(\%3B)|(:))/i 2.三、典型的 SQL 注入攻击的正则表达式 /\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\ ))/ix 2.四、检测SQL注入,UNION查询关键字的正则表达式 /((\%27)|(\'))union/ix(\%27)|(\') - 单引号和它的hex等值 union - union关键字。 2.五、检测MS SQL Server SQL注入攻击的正则表达式 /exec(\s|\+)+(s|x)p\w+/ix安全
三、字符串过滤 public static String filterContent(String content){ String flt ="'|and|exec|insert|select|delete|update|count|*|% |chr|mid|master|truncate|char|declare|; |or|-|+|,"; Stringfilter[] = flt.split("|"); for(int i=0; i { content.replace(filter[i], ""); } return content; }jsp
四、不安全字符屏蔽函数
本部分采用js来屏蔽,起的做用很小,这样用屏蔽关键字的方法虽然有必定做用,可是在实际应用中这些 SQL的关键字也可能成为真正的查询关键字,到那是被你屏蔽了那用户不是不能正常的使用了。 只要在代码规范上下点功夫就能够了。 凡涉及到执行的SQL中有变量时,用JDBC(或者其余数据持久层)提供的如:PreparedStatement就能够 ,切记不要用拼接字符串的方法就能够了. 功能介绍:检查是否含有"'","\\","/" 参数说明:要检查的字符串 返回值:0:是 1:不是 函数名是性能
function check(a) { return 1; fibdn = new Array ("'" ,"\\","/"); i=fibdn.length; j=a.length; for (ii=0; ii { for (jj=0; jj
{ temp1=a.charAt(jj); temp2=fibdn[ii]; if (tem'; p1==temp2) { return 0; } } } return 1; }
- 1. 如何防止sql注入
- 2. mybatis是如何防止SQL注入的
- 3. MyBatis如何防止SQL注入
- 4. PreparedStatement是如何防止SQL注入的?
- 5. PHP中如何防止SQL注入
- 6. 如何在PHP中防止SQL注入?
- 7. Python中如何防止sql注入
- 8. JDBC 如何有效防止 SQL 注入
- 9. php网站如何防止sql注入?
- 10. 【转】mybatis如何防止sql注入
- 更多相关文章...
- • XSD 如何使用? - XML Schema 教程
- • SQLite 注入 - SQLite教程
- • YAML 入门教程
- • Spring Cloud 微服务实战(三) - 服务注册与发现
-
每一个你不满意的现在,都有一个你没有努力的曾经。