• java项目中如何防止sql注入


     

    简介

    SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令;

    实践

    项目中如何防止sql注入呢,有以下三点:

    • 前端表单进行参数格式控制;
    • 后台进行参数格式化,过滤所有涉及sql的非法字符;

    //参考:https://freeman983.iteye.com/blog/1153989
    //过滤 '
    //ORACLE 注解 -- /**/
    //关键字过滤 update,delete

    static String reg = "(?:')|(?:--)|(/\*(?:.|[\n\r])*?\*/)|"
    + "(\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\b)";

    static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);//表示忽略大小写

    /***************************************************************************
    * 参数校验
    *
    * @param str ep: "or 1=1"
    */
    public static boolean isSqlValid(String str) {
    Matcher matcher = sqlPattern.matcher(str);
    if (matcher.find()) {
    System.out.println("参数存在非法字符,请确认:"+matcher.group());//获取非法字符:or
    return false;
    }
    return true;
    }

    •  持久层使用参数化的持久化sql,使用预编译语句集,切忌使用拼接字符串;

    String sql= "select * from user where name=?";
    PreparedStatement ps = conn.prepareStatement(sql);
    ps.setString(1, name);
    ResultSet rs = ps.executeQuery();

    2. mybatis防止sql注入

    myatis是一款优秀的持久层框架,在防止sql注入方面,mybatis启用了预编译功能,在所有的SQL执行前,
    都会先将SQL发送给数据库进行编译,执行时,直接替换占位符"?"即可;

    mybatis在处理传参的时候,有两种处理方式,一种是#,另一种是$;

    1. #{XXX},将传入参数都当成一个字符串,会自动加双引号,已经经过预编译,安全性高,能很大程度上防止sql注入;
    2. ${XXX},该方式则会直接将参数嵌入sql语句,未经过预编译,安全性低,无法防止sql注入;

    总结

    在项目中我们一般都会对sql的参数进行多重的限制,同时多提高代码的规范和质量,多使用预编译功能,这样才能更大程度去防范sql注入

  • 相关阅读:
    查询同一表格中姓名相同但身份证号不同的记录
    Liunx常用命令
    判断当前移动端是Android、还是ios、还是微信
    mybatis 返回值问题
    log4j2+mybaits 打印sql操作语句
    java日期格式问题
    eachart图表100px大小原因,及处理办法
    springboot中的默认数据库连接池HikariDataSource
    SpringBoot中logback.xml使用application.yml中属性
    linux 下的vi vim快捷键,命令总结
  • 原文地址:https://www.cnblogs.com/shoshana-kong/p/14081912.html
Copyright © 2020-2023  润新知