sql注入是一个很早就有的问题了,
最近遇到,因为给学院社联做网站的时候,由于疏忽导致了有漏洞,给sql注入攻击了。
sql注入防起来并不难,直到其原理就非常简单了。
首先了解什么是sql注入。
sql注入就是通过网站开放给用户输入或是地址栏后面 http://www.xx.xx.?属性={%33}
等等注入sql语句已达到注入sql数据库的目的拿到账户之类。
防范就是对所有的输入限制和过滤非法字符;
public static boolean sql_inj(String str) {
String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|or|script|request|session|response";
// 这里的东西还可以自己添加
String[] inj_stra = inj_str.split("\\|");
for (int i = 0; i < inj_stra.length; i++) {
if (str.indexOf(inj_stra[i]) >= 0) {
return true;
}
}
return false;
}