StringEscapeUtils防止sql注入

最新推荐文章于 2025-03-19 05:45:00 发布
原创 最新推荐文章于 2025-03-19 05:45:00 发布 · 720 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SQL #Apache

本文介绍了一种使用org.apache.commons.lang.StringEscapeUtils.escapeSql方法来转义字符串中的特殊字符,从而有效防止SQL注入攻击的安全措施。

调用org.apache.commons.lang.StringEscapeUtils.escapeSql(String str)方法可以将str里边的特殊字符转换,避免sql注入

willvip
关注
如何防止SQL注入
lmseo5hy的博客
03-21 614
SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。对于很多网站都有用户提交表单的端口,提交的数据插入MySQL数据库中,就有可能发生SQL注入安全问题,那么,如何防止SQL注入呢?针对SQL注入安全问题的预防,需时刻认定用户输入的数据是不安全的,并对用户输入的数据进行过滤处理,对不同的字段进行条件限制,符合条件的可以写入数据...
Java 安全:如何防止 SQL 注入与 XSS 攻击?
shrgegrb的博客
04-22 1276
SQL 注入是一种利用应用程序对用户输入缺乏有效过滤,将恶意 SQL 代码插入到查询语句中,从而对数据库进行未授权访问或操作的攻击方式。如果攻击者在用户名或密码输入框中输入类似的内容,就会改变原 SQL 语句的逻辑,导致查询结果不准确,甚至可能泄露用户信息。在 Java 开发中,防止 SQL 注入和 XSS 攻击是保障应用程序安全的重要环节。通过使用预编译语句、输入验证等方法可以有效防止 SQL 注入;采用输出编码、严格的输入验证等策略可以抵御 XSS 攻击。
防止sql注入工具类l
03-22
NULL 博文链接:https://kaka100.iteye.com/blog/1004594
java的StringEscapeUtils转义与反转义
qq_38909957的博客
11-25 1756
StringEscapeUtils,这个工具类是在2.3版本以上加上的去的,利用它能很方便的进行html,xml,Java等的转义与反转义,而且还能对关键字符串进行处理预防SQL注入,不过好像common-lang3.0以后我看着好像没这个处理SQL语句的方法了。 导入文件包名:import org.apache.commons.lang.StringEscapeUtils; Stri...
xss防御方法base64_StringEscapeUtils的常用使用,防止SQL注入及XSS注入
weixin_36083698的博客
01-17 272
C#SerialPort如何读取串口数据并显示在TextBox上SerialPort中串口数据的读取与写入有较大的不同.由于串口不知道数据何时到达,因此有两种方法可以实现串口数据的读取..线程实时读串口:二.事件触发方式实现. 由于线程实时读串口的效率不是十分高 ...iOS runtime实用篇解决常见Crash程序崩溃经历 其实在很早之前就想写这篇文章了,一直拖到现在. 程序...
StringEscapeUtils.escapeSql
jceator123的博客
01-10 4184
apacheStringEscapeUtils类,可以转义html,javascrip,SQL,xml,java中特殊字符.特别是SQL,省了被人SQL注入了,来用个单引号试试:String str = "'";System.out.println(str);System.out.println(StringEscapeUtils.escapeSql(str));结果:'''//变成两个单引号了...
精选资源
Hibernate使用中防止SQL注入的几种方案
01-20
以下是Hibernate中防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...
防止 SQL 注入、XSS、CSRF:Java Web 安全指南
测试者家园
03-19 934
在数字化浪潮席卷全球的今天,Java 作为企业级 Web 应用开发的主力语言,支撑着无数核心系统。然而,越是关键的系统,越容易成为黑客攻击的“高价值目标”。SQL 注入SQL Injection)、跨站脚本(XSS)、跨站请求伪造(CSRF)等经典 Web 安全威胁,依旧频频出现在漏洞排行榜上。更危险的是,这些漏洞并非源自高深技术,而往往是开发者的安全意识不足、架构设计不当或编码习惯松散导致。本文将从专业视角出发,深刻剖析三大核心漏洞成因与防御策略,帮助你真正构建安全的 Java Web 应用。
java防sql注入攻击过滤器
08-09
为了防止此类攻击,开发者通常会使用一种称为“SQL注入过滤器”的机制。本篇文章将深入探讨如何在Java中实现一个防SQL注入的过滤器,以及它的重要性。 SQL注入的原理是利用应用程序处理用户输入数据时的不足,将...
StringEscapeUtils的常用使用,防止SQL注入及XSS注入
weixin_30487317的博客
02-27 469
StringEscapeUtils的常用使用,防止SQL注入及XSS注入 2017年10月20日 11:29:44 小狮王 阅读数:8974 版权声明:本文为博主原创文章,转载请注明出处。 https://blog.csdn.net/wanghaoqian/article/details/78293631 引入common-lang-2.4.jar中 ...
java防sql注入 转义_StringEscapeUtils的常用使用,防止SQL注入及XSS注入
weixin_30774211的博客
02-26 1827
引入common-lang-2.4.jar中一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能官方参考文档StringEscapeUtils.unescapeHtml(sname)1.escapeSql 提供sql转移功能,防止sql注入攻击,例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffer("select...
java 防止sql xxs注入,StringEscapeUtils的常用使用,防止SQL注入及XSS注入
weixin_39659748的博客
03-19 831
StringEscapeUtils类可以对html js xml sql 等代码进行转义来防止SQL注入及XSS注入一、增加pomcommons-langcommons-lang2.6二、简单使用1.html脚本escapeHtml转义html脚本unescapeHtml反转义html脚本System.out.println(StringEscapeUtils.escapeHtml("abc")...
apache-commons-lang StringEscapeUtilsSQL、HTML、XML、JavaScript、Java 特殊字符的转义和还原
王星乐的博客
11-21 1256
应该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安全问题。网络中有大量讲解 SQL 注入的文章,感兴趣的读者可以搜索相关的资料深入研究。 虽然 SQL 注入的后果很严重,但是只要对动态构造的 SQL 语句的变量进行特殊字符转义处理,就可以
转义工具类 StringEscapeUtils
CSY的博客
03-23 985
在公司开发DevOps系统时。流水线模块因为要用java操作jenkins生成任务。而测试创建任务的pipeline脚本中有“,<,>等特殊符号。需要将脚本转换成对应的xml脚本,其中最大的变化便是转义字符的变化,此时可以使用StringEscapeUtils.escapeXml()方法转换从,就能够创建成功,除此之外,StringEscapeUtils还提供了很大的工具类方法。一般都是String转换其他xml,json之类的方法。 ...
commons-lang常用工具类StringEscapeUtils
码农界的小学生
04-23 1411
apache commons-lang(2.3以上版本)中为我们提供了一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能。总共提供了以下几个方法: 1.escapeSql 提供sql转移功能,防止sql注入攻击,例如典型的万能密码攻击’ ’ or 1=1 ’ ‘ StringBuffer sql = new StringBuffer("&lt;span class="...
StringEscapeUtils
天道酬勤
01-16 2503
org.apache.commons.lang.StringEscapeUtils 类可以对js sql html xml等代码进行转义!用来处理前端js注入代码 SQL特殊字符转义   应该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安...
利用StringEscapeUtils对字符串进行各种转义与反转义(Java)
u013305082的专栏
03-16 1766
利用StringEscapeUtils对字符串进行各种转义与反转义(Java) 标签: StringEscapeUtils用法例StringEscapeUtils使用java中字符串的转义字符串转义工具StringEscapeUtils 2015-02-03 20:51 13123人阅读 评论(1) 收藏 举报 本文章已收录于:
防止sql注入
小屋
02-24 224
根据名字来查询一个商品 sql语句为 """select * from goods where name=‘%s’;""",Searchname; 但有些人会利用这些sql语句逻辑上的漏洞来盗取你的数据库所有数据 eg:输入’ or 1=1 or '1 整个sql语句就变成了 select * from goods where name=‘' or 1=1 or '1’; 然后你的数据就嗖嗖嗖...
Java string 防止SQL注入
最新发布
08-19
<think>我们正在讨论Java中防止SQL注入的最佳实践,特别是针对字符串拼接问题。根据引用内容,参数化查询(PreparedStatement)是首选方案。此外,引用还提到MyBatis中#{}和${}的区别,以及druid过滤的局限性。 核心解决方案: 1. 强制使用PreparedStatement(参数化查询)处理所有用户输入的数据。 2. 在MyBatis等ORM框架中,优先使用#{}(预编译)而非${}(字符串拼接)。 3. 如果必须使用字符串拼接(如动态表名、列名),则必须严格白名单验证。 具体步骤: ### 1. 使用PreparedStatement(JDBC原生方式) 这是Java防止SQL注入最根本的方法。原理是将SQL语句结构和数据分离,数据库引擎不会将数据视为指令部分。 ```java String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; try (Connection conn = DriverManager.getConnection(DB_URL, USER, PASS); PreparedStatement stmt = conn.prepareStatement(sql)) { stmt.setString(1, username); // 自动转义,防止注入 stmt.setString(2, password); try (ResultSet rs = stmt.executeQuery()) { // 处理结果集 } } ``` ### 2. 在MyBatis中使用#{}预编译 MyBatis中,#{}会将参数替换为?,然后使用PreparedStatement执行,能有效防止注入。而${}是直接拼接字符串,存在注入风险。 安全方式: ```xml <select id="findUser" resultType="User"> SELECT * FROM users WHERE username = #{username} </select> ``` 危险方式(避免使用): ```xml <select id="findUser" resultType="User"> SELECT * FROM users WHERE username = '${username}' <!-- 存在注入风险 --> </select> ``` ### 3. 动态表名/列名处理(必须拼接时) 当需要动态指定表名或列名(如排序字段)时,无法使用参数化查询。此时必须: - 使用白名单验证:只允许预定义的、安全的表名或列名。 - 避免直接使用用户输入。 示例(动态排序): ```java // 定义允许的排序字段白名单 private static final Set<String> ALLOWED_SORT_COLUMNS = Set.of("id", "username", "email"); public List<User> getUsers(String sortField) { // 检查用户传入的排序字段是否在白名单中 if (!ALLOWED_SORT_COLUMNS.contains(sortField)) { sortField = "id"; // 默认值 } String sql = "SELECT * FROM users ORDER BY " + sortField; // 此时拼接安全 // ...执行查询 } ``` ### 4. 避免使用字符串拼接生成SQL语句 绝对不要这样写: ```java String sql = "SELECT * FROM users WHERE username = '" + username + "'"; // 高危! ``` ### 5. 辅助安全措施 - **使用Druid等连接池的SQL防火墙**:配置`wallFilter`,但注意它不能完全依赖(如引用[4]所述,`${}`传递`1 or state=2`可能绕过)。 - **最小权限原则**:数据库账号只赋予必要权限。 - **输入验证**:对用户输入进行格式、长度等校验(如邮箱格式)。 ### 总结最佳实践 1. **首选参数化查询**(PreparedStatement或MyBatis的#{})处理所有用户输入的数据。 2. **动态表名/列名**采用**白名单验证**,确保拼接内容安全。 3. **避免任何形式的字符串拼接SQL**,特别是将用户输入直接拼接到SQL中。 4. 使用ORM框架(如Hibernate)时,同样遵循其安全查询方式(如HQL参数绑定)。 > 引用说明: > 参数化查询通过分离指令与数据从根本上防止注入[^1]。MyBatis中#{}预编译机制能有效防止SQL注入[^2]。而使用${}或字符串拼接则存在风险,即使使用Druid过滤也可能被绕过[^4]。 §§相关问题§§ 1. MyBatis中#{}和${}的区别是什么?为什么#{}能防止SQL注入而${}不能? 2. 在Java中,除了PreparedStatement,还有哪些防止SQL注入的库或框架? 3. 如何安全地处理SQL语句中的IN条件(如WHERE id IN (1,2,3))以防止注入? 4. 使用白名单验证动态表名时,如何设计白名单才能确保安全性?</think>### Java中防止String拼接SQL注入的最佳实践 在Java中防止SQL注入的核心原则是**避免直接拼接用户输入到SQL语句**。以下是针对String拼接问题的具体解决方案: --- #### ✅ 1. **强制使用PreparedStatement(首选方案)** **原理**:将SQL语句结构和数据分离,数据库引擎自动处理特殊字符转义。 ```java // 安全示例 String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; try (PreparedStatement stmt = connection.prepareStatement(sql)) { stmt.setString(1, userInput1); // 自动转义 stmt.setString(2, userInput2); // 自动转义 ResultSet rs = stmt.executeQuery(); } ``` **优势**: - 自动处理所有特殊字符(如 `'`, `;`, `--`) - 明确区分SQL结构和数据[^1][^2] - 支持类型安全验证(如`setInt()`防止非数字输入) --- #### ✅ 2. **在MyBatis中优先使用`#{}`语法** **原理**:`#{}`会生成预编译的PreparedStatement,而`${}`是直接拼接字符串。 ```xml <!-- 安全方式 --> <select id="findUser" resultType="User"> SELECT * FROM users WHERE username = #{username} <!-- 预编译 --> </select> <!-- 危险方式(避免使用) --> <select id="findUser" resultType="User"> SELECT * FROM users WHERE username = '${username}' <!-- 直接拼接 --> </select> ``` **关键点**: - `#{}` 等效于JDBC的`?`占位符[^2] - `${}` 仅用于**动态表名/列名**等非用户输入场景 --- #### ⚠️ 3. **动态表名/列名的安全处理** 当必须拼接表名或排序字段时: ```java // 步骤1:定义白名单 private static final Set<String> SAFE_COLUMNS = Set.of("id", "name", "email"); // 步骤2:验证用户输入 public String safeOrderBy(String userInput) { if (!SAFE_COLUMNS.contains(userInput)) { throw new IllegalArgumentException("Invalid column name"); } return userInput; // 返回安全值 } // 使用示例 String sql = "SELECT * FROM users ORDER BY " + safeOrderBy(input); ``` --- #### 🛡️ 4. **多层防御策略** 1. **输入验证**(前置过滤): ```java // 白名单验证示例 if (!userInput.matches("[a-zA-Z0-9_]+")) { // 只允许字母数字下划线 throw new InvalidInputException(); } ``` 2. **使用安全工具库**: ```java // Apache Commons Lang3 String safeInput = StringEscapeUtils.escapeSql4(userInput); // 注意:这只是辅助手段,不能替代参数化查询! ``` 3. **连接池防护**(如Druid): ```java // 在配置中启用SQL防火墙 datasource.setFilters("wall"); ``` **局限**:如引用[4]所述,无法完全防御`state=${state}`类注入[^4] --- #### ❌ 绝对禁止的做法 ```java // 高危!直接拼接用户输入 String sql = "SELECT * FROM users WHERE name = '" + userInput + "'"; Statement stmt = connection.createStatement(); stmt.executeQuery(sql); // 100%可被注入 ``` --- ### 总结最佳实践 1. **首选方案**:对所有用户输入使用`PreparedStatement`或MyBatis的`#{}`[^1][^2] 2. **动态标识符**:用**白名单验证**处理表名/列名拼接 3. **纵深防御**:结合输入验证 + 预编译 + 最小数据库权限 4. **避免**:`${}`、字符串拼接、单纯依赖转义工具或连接池过滤 > 通过参数化查询,即使用户输入`' OR '1'='1`,数据库也会将其视为普通字符串而非SQL指令[^3],从根本上阻断注入。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值