當前位置:首頁 » 編程語言 » javasql注入防止

javasql注入防止

發布時間: 2022-10-06 17:17:05

java中preparedstatement為什麼可以防止sql注入

不知道樓主用沒有用過
select * from tab_name where name= '"+name+"' and passwd='"+passwd+"';
把其中passwd換成 [' or '1' = '1] 這樣就可以完成sql注入
更有可能對你的資料庫表drop操作

如果使用preparedstatement的話就可以直接使用預編譯,PreparedStatement不允許在插入時改變查詢的邏輯結構.
舉例
statement
select * from tab_name where name= '"+name+"' and passwd='"+passwd+"';
passwd就可以換成 『 or '1'='1
Statement stmt = con.createStatement();
ResultSet rs = stmt.executeQuery(sql);

preparedstatement
select * from tab_name where name=? and passwd=? ;
PreparedStatement pst = con.prepareStatement(sql);
pstmt.setString(1, name);
pstmt.setString(2, passwd);
ResultSet rs = pstmt.executeQuery();

❷ java如何防止sql注入

採用預編譯語句集,它內置了處理SQL注入的能力,只要使用它的setString方法傳值即可:
String
sql=
"select
*
from
users
where
username=?;
PreparedStatement
preState
=
conn.prepareStatement(sql);
preState.setString(1,
userName);
preState.setString(2,
password);
ResultSet
rs
=
preState.executeQuery();

❸ java里拼接sql怎麼防注入

最簡單最容易的是限制用戶輸入。簡單點的就是不允許用戶輸入單引號 和 --,因為單引號號--在SQL中都是影響執行的,兩種方式一種是在JSP中加判斷:

3
另一種是在SQL拼接是對單引號和--等進行轉義,str = str.replace("'", "''");

❹ java如何防止sql注入

採用預編譯語句集,它內置了處理SQL注入的能力,只要使用它的setString方法傳值即可: String sql= "select * from users where username=?; PreparedStatement preState = conn.prepareStatement(sql); preState.setString(1, userName); preState.setString(2, password); ResultSet rs = preState.executeQuery();

❺ Java中如何解決sql 注入漏洞

使用prepareStatement,在用戶名那裡填?,用set方法往裡賦值 追問: 我用statement可以返回結果集,用resultsetmetadata也可以查出返回的列數。用preparedstatement也是一樣的。我現在的問題是在那個if語句了對傳入的password和結果集中的password比較時出了問題。那不怎樣防止注入漏洞呀 回答: 我不是說了嗎,用preparestatement可以防止sql注入漏洞,你要在好好想下,你是不是暈為什麼么不用比較,因為有查到記錄了,返回true,查不到就返回falsh了 追問: 用戶名是查到了 如果我資料庫有個用戶名是admin 密碼是123 我用戶名admin正確了 但是我還是要比較密碼是否是一樣的呀 回答: 那你組織sql語句的時候對密碼也查詢,如果沒查到,它連if循環都進不去,給你sql語句select top 1 *from 表名where 用戶=?

❻ java 多條件查詢的sql怎麼防止sql注入漏洞

原理,過濾所有請求中含有非法的字元,例如:, & < select delete 等關鍵字,黑客可以利用這些字元進行注入攻擊,原理是後台實現使用拼接字元串!
你的採納是我前進的動力,
記得好評和採納,答題不易,互相幫助,
手機提問的朋友在客戶端右上角評價點(滿意)即可.
如果你認可我的回答,請及時點擊(採納為滿意回答)按鈕!!

❼ java防止SQL注入的問題

"select * from where uname=? and upass=?"; select * from 表名,你的表名呢?沒表名就直接where?

❽ java防止sql注入有哪些方法

前台我們可以通過過濾用戶輸入,後台可以通過PreparedStatement來代替Statement來執行SQL語句。

❾ java拼接sql怎麼防止注入

使用Hibernate框架的SQL注入防範 Hibernate是目前使用最多的ORM框架,在Java Web開發中,很多時候不直接使用JDBC,而使用Hibernate來提高開發效率。
在Hibernate中,仍然不應該通過拼接HQL的方式,而應使用參數化的方式來防範SQL注入。有兩種方式,一種仍然是使用JDBC一樣的佔位符「?」,但更好的方式是使用Hibernate的命名參數,例如檢測用戶名和密碼是否正確,使用Hibernate可以寫成:
String queryStr = 「from user where username=:username 」+」password=:password」;
List result = session.createQuery(queryStr).setString("username", username).setString("password", password).list();

❿ java防止SQL注入的幾個途徑

  • java防SQL注入,最簡單的辦法是杜絕SQL拼接,SQL注入攻擊能得逞是因為在原有SQL語句中加入了新的邏輯,如果使用PreparedStatement來代替Statement來執行SQL語句,其後只是輸入參數,SQL注入攻擊手段將無效,這是因為PreparedStatement不允許在不同的插入時間改變查詢的邏輯結構,大部分的SQL注入已經擋住了,在WEB層我們可以過濾用戶的輸入來防止SQL注入比如用Filter來過濾全局的表單參數

  • 01importjava.io.IOException;

  • 02importjava.util.Iterator;

  • 03importjavax.servlet.Filter;

  • 04importjavax.servlet.FilterChain;

  • 05importjavax.servlet.FilterConfig;

  • 06importjavax.servlet.ServletException;

  • 07importjavax.servlet.ServletRequest;

  • 08importjavax.servlet.ServletResponse;

  • 09importjavax.servlet.http.HttpServletRequest;

  • 10importjavax.servlet.http.HttpServletResponse;

  • 11/**

  • 12*通過Filter過濾器來防SQL注入攻擊

  • 13*

  • 14*/

  • {

  • 16privateStringinj_str="'|and|exec|insert|select|delete|update|count|*|%

  • |chr|mid|master|truncate|char|declare|;|or|-|+|,";

  • =null;

  • 18/**

  • 19*?

  • 20*/

  • 21protectedbooleanignore=true;

  • 22publicvoidinit(FilterConfigconfig)throwsServletException{

  • 23this.filterConfig=config;

  • 24this.inj_str=filterConfig.getInitParameter("keywords");

  • 25}

  • 26publicvoiddoFilter(ServletRequestrequest,ServletResponseresponse,

  • 27FilterChainchain)throwsIOException,ServletException{

  • 28HttpServletRequestreq=(HttpServletRequest)request;

  • 29HttpServletResponseres=(HttpServletResponse)response;

  • 30Iteratorvalues=req.getParameterMap().values().iterator();//獲取所有的表單參數

  • 31while(values.hasNext()){

  • 32String[]value=(String[])values.next();

  • 33for(inti=0;i<value.length;i++){

  • 34if(sql_inj(value[i])){

  • 35//TODO這里發現sql注入代碼的業務邏輯代碼

  • 36return;

  • 37}

  • 38}

  • 39}

  • 40chain.doFilter(request,response);

  • 41}

  • 42publicbooleansql_inj(Stringstr)

  • 43{

  • 44String[]inj_stra=inj_str.split("\|");

  • 45for(inti=0;i<inj_stra.length;i++)

  • 46{

  • 47if(str.indexOf(""+inj_stra[i]+"")>=0)

  • 48{

  • 49returntrue;

  • 50}

  • 51}

  • 52returnfalse;

  • 53}

  • 54}

  • 也可以單獨在需要防範SQL注入的JavaBean的欄位上過濾:

  • 1/**

  • 2*防止sql注入

  • 3*

  • 4*@paramsql

  • 5*@return

  • 6*/

  • (Stringsql){

  • 8returnsql.replaceAll(".*([';]+|(--)+).*","");

  • 9}

熱點內容
循跡小車演算法 發布:2024-12-22 22:28:41 瀏覽:82
scss一次編譯一直生成隨機數 發布:2024-12-22 22:04:24 瀏覽:956
嫁接睫毛加密 發布:2024-12-22 21:50:12 瀏覽:975
linuxbin文件的安裝 發布:2024-12-22 21:46:07 瀏覽:798
vlcforandroid下載 發布:2024-12-22 21:45:26 瀏覽:664
電腦做網關把數據發送至伺服器 發布:2024-12-22 21:44:50 瀏覽:432
新華三代理什麼牌子的伺服器 發布:2024-12-22 21:33:21 瀏覽:342
歡太會員密碼是什麼 發布:2024-12-22 20:57:28 瀏覽:74
sqllocaldb 發布:2024-12-22 20:07:08 瀏覽:126
如何找到我的伺服器 發布:2024-12-22 19:52:14 瀏覽:301