• Java防止SQL注入


     http://blog.csdn.net/abc19900828/article/details/39501349

    SQL 注入简介:
            SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:

            比如在一个登陆界面,要求用户输入用户名和密码:

            用户名:     ' or 1=1 --   

            密     码:   

    点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:

            String sql="select * from users where username='"+userName+"' and password='"+password+"' "

            那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

            这是为什么呢?我们来看看这条语句,将用户输入的数据替换后得到这样一条语句:

            select * from users where username='' or 1=1 --' and password=''

            为了更明白些,可以将其复制到SQL分析器中,将会发现,这条语句会将数据库的数据全部读出来,为什么呢?

            很简单,看到条件后面 username='' or 1=1 用户名等于 '' 或 1=1 那么这个条件一定会成功,然后后面加两个-,这意味着什么?没错,注释,它将后面的语句注释,让他们不起作用,这样就可以顺利的把数据库中的数据读取出来了。

            这还是比较温柔的,如果是执行 
            select * from users where username='' ;DROP Database    (DB Name) --' and password=''

            .......其他的您可以自己想象。。。

            那么我们怎么来处理这种情况呢?下面我以Java为列给大家两种简单的方法:

    第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
            String sql= "select * from users where username=? and password=?;
            PreparedStatement preState = conn.prepareStatement(sql);
            preState.setString(1, userName);
            preState.setString(2, password);
            ResultSet rs = preState.executeQuery();
            ...

    第二种是采用正则表达式将包含有 单引号('),分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入
            public static String TransactSQLInjection(String str)
            {
                  return str.replaceAll(".*([';]+|(--)+).*", " ");

               // 我认为 应该是return str.replaceAll("([';])+|(--)+","");

            }

            userName=TransactSQLInjection(userName);
            password=TransactSQLInjection(password);

            String sql="select * from users where username='"+userName+"' and password='"+password+"' "
            Statement sta = conn.createStatement();
            ResultSet rs = sta.executeQuery(sql);
     
    第三种 使用Hibernate框架的SQL注入防范 Hibernate是目前使用最多的ORM框架,在Java Web开发中,很多时候不直接使用JDBC,而使用Hibernate来提高开发效率。
      在Hibernate中,仍然不应该通过拼接HQL的方式,而应使用参数化的方式来防范SQL注入。有两种方式,一种仍然是使用JDBC一样的占位符“?”,但更好的方式是使用Hibernate的命名参数,例如检测用户名和密码是否正确,使用Hibernate可以写成:
        String queryStr = “from user where username=:username ”+”password=:password”;
        List result = session.createQuery(queryStr).setString("username", username).setString("password", password).list();

     

  • 相关阅读:
    Win10找不到gpedit.msc解决方法
    分类问题的评价指标
    配置Sublime的C/C++编译环境(无脑入门)
    bilibili1024安全挑战赛(Q1-Q5)
    Cmder的安装与配置
    DockerStack 实战
    docker-swarm实战
    docker-compose实战
    docker网络(二)
    docker网络(一)
  • 原文地址:https://www.cnblogs.com/gpdm/p/6101968.html
Copyright © 2020-2023  润新知