java防sql注入

① java中preparedstatement为什么可以防止sql注入

不知道楼主用没有用过
select * from tab_name where name= '"+name+"' and passwd='"+passwd+"';
把其中passwd换成 [' or '1' = '1] 这样就可以完成sql注入
更有可能对你的数据库表drop操作

如果使用preparedstatement的话就可以直接使用预编译，PreparedStatement不允许在插入时改变查询的逻辑结构.
举例
statement
select * from tab_name where name= '"+name+"' and passwd='"+passwd+"';
passwd就可以换成 ‘ or '1'='1
Statement stmt = con.createStatement();
ResultSet rs = stmt.executeQuery(sql);

preparedstatement
select * from tab_name where name=? and passwd=? ;
PreparedStatement pst = con.prepareStatement(sql);
pstmt.setString(1, name);
pstmt.setString(2, passwd);
ResultSet rs = pstmt.executeQuery();

② 什么是sql注入如何防止sql注入

SQL注入是一种非常常见的数据库攻击手段，同时也是网络世界中最普遍的漏洞之一，简单理解就是恶意用户通过在表单中填写包含SQL关键字的数据来使数据库执行非常规代码的过程。
问题来源是，SQL数据库的操作是通过SQL语句来执行的，而无论是执行代码还是数据项都必须写在SQL语句中，也就导致如果我们在数据项中加入了某些SQL语句关键字，比如SELECT、DROP等，这些关键字就很有可能在数据库写入或读取数据时得到执行。
解决方案
方案一：
采用预编译技术
使用预编译的SQL语句，SQL语句的语义不会是不会发生改变的。预编译语句在创建的时候就已经将指定的SQL语句发送给了DBMS，完成了解析，检查，编译等工作，所以攻击者无法改变SQL语句的结构，只是把值赋给?，然后将?这个变量传给SQL语句。当然还有一些通过预编译绕过某些安全防护的操作，大家感兴趣可以去搜索一下。
方案二：
严格控制数据类型
在java、c等强类型语言中一般是不存在数字型注入的，因为在接受到用户输入id时，代码一般会做一个int id 的数据类型转换，假如我们输入的是字符串的话，那么这种情况下，程序就会报错。但是在PHP、ASP这些没有强调处理数据类型的语言，一般我们看到的接收id的代码都是如下等代码。
方案三：
对特殊的字符进行转义
数字型注入可以通过检查数据类型防止，但是字符型不可以，那么怎么办呢，最好的办法就是对特殊的字符进行转义了。比如在MySQL中我们可以对" '
"进行转义，这样就防止了一些恶意攻击者来闭合语句。当然我们也可以通过一些安全函数来转义特殊字符。如addslashes()等，但是这些函数并非一劳永逸，攻击者还可以通过一些特殊的方式绕过。

③ Java中如何解决sql 注入漏洞

1、对传递过来的参数值段做过滤处理 包含sql操作关键字的干掉！当然这个要符合你的业务需求
2、不要对sql语句做拼接处理 可以用类似 jdbc中的preparestatement动态sql技术 生成sql

3、对传递进来的参数值做字符串转义 'sql do some' 让数据库把这段当成一段字符串处理 而不进行操作编译

④ java防止SQL注入的几个途径

• java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑，如果使用PreparedStatement来代替Statement来执行SQL语句，其后只是输入参数，SQL注入攻击手段将无效，这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构,大部分的SQL注入已经挡住了,在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数

• 01importjava.io.IOException;

• 02importjava.util.Iterator;

• 03importjavax.servlet.Filter;

• 04importjavax.servlet.FilterChain;

• 05importjavax.servlet.FilterConfig;

• 06importjavax.servlet.ServletException;

• 07importjavax.servlet.ServletRequest;

• 08importjavax.servlet.ServletResponse;

• 09importjavax.servlet.http.HttpServletRequest;

• 10importjavax.servlet.http.HttpServletResponse;

• 11/**

• 12*通过Filter过滤器来防SQL注入攻击

• 13*

• 14*/

• {

• 16privateStringinj_str="'|and|exec|insert|select|delete|update|count|*|%

• |chr|mid|master|truncate|char|declare|;|or|-|+|,";
  

• =null;

• 18/**

• 19*?

• 20*/

• 21protectedbooleanignore=true;

• 22publicvoidinit(FilterConfigconfig)throwsServletException{

• 23this.filterConfig=config;

• 24this.inj_str=filterConfig.getInitParameter("keywords");

• 25}

• 26publicvoiddoFilter(ServletRequestrequest,ServletResponseresponse,

• 27FilterChainchain)throwsIOException,ServletException{

• 28HttpServletRequestreq=(HttpServletRequest)request;

• 29HttpServletResponseres=(HttpServletResponse)response;

• 30Iteratorvalues=req.getParameterMap().values().iterator();//获取所有的表单参数

• 31while(values.hasNext()){

• 32String[]value=(String[])values.next();

• 33for(inti=0;i<value.length;i++){

• 34if(sql_inj(value[i])){

• 35//TODO这里发现sql注入代码的业务逻辑代码

• 36return;

• 37}

• 38}

• 39}

• 40chain.doFilter(request,response);

• 41}

• 42publicbooleansql_inj(Stringstr)

• 43{

• 44String[]inj_stra=inj_str.split("\|");

• 45for(inti=0;i<inj_stra.length;i++)

• 46{

• 47if(str.indexOf(""+inj_stra[i]+"")>=0)

• 48{

• 49returntrue;

• 50}

• 51}

• 52returnfalse;

• 53}

• 54}

• 也可以单独在需要防范SQL注入的JavaBean的字段上过滤：

• 1/**

• 2*防止sql注入

• 3*

• 4*@paramsql

• 5*@return

• 6*/

• (Stringsql){

• 8returnsql.replaceAll(".*([';]+|(--)+).*","");

• 9}

⑤ java拼接sql怎么防止注入

使用Hibernate框架的SQL注入防范 Hibernate是目前使用最多的ORM框架，在Java Web开发中，很多时候不直接使用JDBC，而使用Hibernate来提高开发效率。
在Hibernate中，仍然不应该通过拼接HQL的方式，而应使用参数化的方式来防范SQL注入。有两种方式，一种仍然是使用JDBC一样的占位符“?”，但更好的方式是使用Hibernate的命名参数，例如检测用户名和密码是否正确，使用Hibernate可以写成：
String queryStr = “from user where username=:username ”+”password=:password”;
List result = session.createQuery(queryStr).setString("username", username).setString("password", password).list();