java处理sql注入方法——sql转义

最新推荐文章于 2025-04-25 18:52:40 发布
最新推荐文章于 2025-04-25 18:52:40 发布
阅读量8.8k 收藏 1
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xzw_123/article/details/54407742
版权

昨天被扫描出来sql注入问题,之前以为已经解决了,没想到还是出现了。

网上现有方法:

1、preparestatement

由于每次执行都需要prepare,所以不推荐使用

2、一个单引号变成两个

replace("'","''")
其他的字符串替代方法有着局限性,就不列举了。

我最开始使用的是2方法,但是还是有方法可以破解。

后来参考php的addslashes函数,写了一个java的escapeSql方法,如下:

public static String escapeSql(String str) {
		if (str == null) {
			return null;
		}
		StringBuilder sb = new StringBuilder();
		for (int i = 0; i < str.length(); i++) {
			char src = str.charAt(i);
			switch (src) {
			case '\'':
				sb.append("''");// hibernate转义多个单引号必须用两个单引号
				break;
			case '\"':
			case '\\':
				sb.append('\\');
			default:
				sb.append(src);
				break;
			}
		}
		return sb.toString();
	}

经测试,已修复sql注入问题。

JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
MyBatis中SQL注入攻击和防护——掌握技巧保护应用安全
AI天才研究院
07-28 1353
随着互联网信息化、云计算等技术的发展,网站业务越来越多样化、个性化,对用户输入数据的安全性要求也越来越高。在WEB开发中,常用的一种方式是用SQL作为后台语言,通过ORM工具将数据存储到数据库中并进行相关查询。由于ORM框架本身的特点,容易受到SQL注入攻击。SQL注入(英语:SQL injection)指的是通过向服务器端发送非法的SQL命令,而不是使用有效的查询条件而访问数据库,最终获取不正确的数据。
java sql 字符串 转义_java拼接SQL语句的特殊字符转义
weixin_36157837的博客
02-13 3121
在实际的项目开发中,往往会根据用户在界面的文本框中输入的信息,去数据库中做模糊查询。如果使用的是原始的JDBC和SQL,往往需要对用户的输入进行转义,避免生成的sql语法错误,或者防止SQL注入。比如对输入的%和_和',就需要进行转义,因为这3个字符是SQL的特殊字符,如果不处理会导致sql出错或者是查询数据不正确。假如有这样1个查询请求,模糊查询标题中包含a%b_cc'd的记录,正确的sql应该...
javasql注入 转义_Java-转义字符串以防止sql注入
weixin_42384743的博客
02-26 1255
慕仙森PreparedStatement是可行的,因为它们使SQL注入成为不可能。下面是一个简单的示例,将用户的输入作为参数:publicinsertUser(Stringname,Stringemail){Connectionconn=null;PreparedStatementstmt=null;try{conn=setupTheDat...
Java 中预防 SQL 注入,从零基础到精通,收藏这篇就够了!
韩束一叶子
03-21 921
场景安全做法高风险做法(避免!执行 SQL 查询使用参数化拼接字符串生成 SQL动态表名/列名白名单校验合法值直接拼接用户输入输入验证正则表达式白名单过滤仅在前端验证或不做验证错误信息处理记录日志,返回通用错误提示返回详细数据库错误信息ORM 框架优先使用 Hibernate/JPA 的 Criteria 或 HQL手动拼接 HQL 或 JPQL关键点绝不信任用户输入:所有外部输入(包括 HTTP 请求参数、Cookie、Headers)均需验证和转义。代码审查。
Java sql 转义
weixin_34220179的博客
07-14 902
2019独角兽企业重金招聘Python工程师标准>>> ...
sql特殊字符转义处理,防止注入
lychaox的专栏
09-23 8538
SQL特殊字符转义 应 该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安全问题。网络中有大量讲解 SQL 注入的文章,感兴
java sql 查询中的转义序列不对_SQL查询中的转义字符
weixin_32401411的博客
02-16 266
如果想查找“_cs”结尾的的账户select * from [user] where loginname like '%_cs'是不行的,_ 被认为是任意的字符,所以需要转义字符,有两种写法:select * from [user] where loginname like '%[_]cs'select * from [user] where loginname like '%/_cs' esca...
常见网络安全攻击类型深度剖析(二):SQL注入攻击——原理、漏洞利用演示与代码加固方法
最新发布
迷路的小绅士之家
04-25 1798
SQL注入的本质是“将用户输入当作代码执行”的设计缺陷,其危害程度取决于数据库中存储的数据敏感程度。永远不要信任用户输入,即使是表单中的“正常字段”也可能成为攻击入口。通过严格遵循参数化查询、输入验证、最小权限等最佳实践,结合WAF和日志监控,可以将SQL注入的风险降至最低。下一篇文章将聚焦“DDoS攻击”,解析攻击者如何通过海量流量压垮服务器,以及企业应如何构建分布式防御体系。
jquery过滤特殊字符’,防sql注入的实现方法
11-22
在本文中,我们将深入探讨如何使用jQuery来过滤特殊字符,以防止SQL注入攻击。SQL注入是一种常见的网络安全威胁,攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改或删除敏感数据。以下是一个实际的jQuery实现...
sql注入——sqlilabs27-36
aimnr的博客
08-15 1058
宽字节注入指的是 mysql 数据库在使用宽字节(GBK)编码时,会认为两个字符是一个汉字(前一个ascii码要大于128(比如%df),才到汉字的范围),而且当我们输入单引号时,mysql会调用转义函数,将单引号变为',其中\的十六进制是%5c,mysql的GBK编码,会认为%df%5c是一个宽字节,也就是’運’,从而使单引号闭合(逃逸),进行注入攻击。这里我们发现它在java_imlimentation,在经过exlode函数,以&符为分割,取值,在whitelist过滤他取得是第一个值,
sql里面有特殊字符怎么转义java方法
weixin_42024254的博客
08-19 287
我整理的一些关于【Java】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/bLN8S1SQL特殊字符转义Java方法项目方案 在现代应用开发中,数据库操作是不可或缺的一部分。而在与数据库进行交互时,特别是使用SQL语句时,我们常常会遇到特殊字符的处理问题。这些特殊字符,如果...
javasql注入 转义_Java - 转义字符串以防止SQL注入
weixin_39734646的博客
02-13 645
Richard..6您需要以下代码.乍一看,这可能看起来像我编写的任何旧代码.但是,我所做的是查看http://grepcode.com/file/repo1.maven.org/maven2/mysql/mysql-connector-java/5.1.31/com/mysql/jdbc/PreparedStatement的源代码. java.然后,我仔细查看了setString(int par...
javaSQL注入html编码入侵特殊字符转义方法入参检测工具(Spring)
binyao02123202的专栏
03-18 2899
<br />Spring 不但提供了一个功能全面的应用开发框架,本身还拥有众多可以在程序编写时直接使用的工具类,您不但可以在 Spring 应用中使用这些工具类,也可以在其它的应用中使用,这些工具类中的大部分是可以在脱离 Spring 框架时使用的。了解 Spring 中有哪些好用的工具类并在程序编写时适当使用,将有助于提高开发效率、增强代码质量。<br />在这个分为两部分的文章中,我们将从众多的 Spring 工具类中遴选出那些好用的工具类介绍给大家。第 1 部分 介绍了与文件资源操作和 W
JAVA里面的转义字符以及SQL语句的转移
weixin_30369041的博客
03-06 553
今天的工作遇到了关于JAVA方面的转义的知识,我总结了一些: \n 回车\t 水平制表符\b 空格\r 换行\f 换页\' 单引号\" 双引号\\ 反斜杠 斜杠还是\\ddd 三位八进制\? 四位十六进制 今天在写一条查询的SQL语句的时候遇到了查询条件中含有_的情况,通过上网查找资料使用的ESCAPE关键字 ,这个关键字的主要作用是匹配sql语句里面的下划线。 select gid,...
java mysql 字符串 转义读取_用Java转义SQL字符串
weixin_35834687的博客
01-19 413
背景:我目前正在为企业CMS数据库(业务对象)开发Java前端。目前,我正在构建一个功能,以允许用户构建自定义数据库查询。我已经实施了一些措施,以确保用户只能使用已批准用于用户访问的可用列和运算符的子集进行选择(例如,可以选择SI_EMAIL_ADDRESS,而不能选择更强大的字段,如SI_CUID)。到目前为止,事情一直在进行,但是现在是时候保护此功能免受潜在的SQL注入攻击。问题:我正在寻找一...
java sql注入包_通用防SQL注入函数java
weixin_36078737的博客
02-16 193
public static boolean sql_inj(String str){String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";String inj_stra[] = split(inj_str,"|");for...
java 转义
chinaxiaofeng8的专栏
09-10 473
错误写法:   正确写法:  
javasql注入 转义_StringEscapeUtils的常用使用,防止SQL注入及XSS注入
weixin_30774211的博客
02-26 1782
引入common-lang-2.4.jar中一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能官方参考文档StringEscapeUtils.unescapeHtml(sname)1.escapeSql 提供sql转移功能,防止sql注入攻击,例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffer("select...
java字符串防止sql注入
01-03
### 如何在Java中防止SQL注入的最佳实践和方法 #### 使用参数化查询 为了有效预防SQL注入,推荐采用参数化查询。这种方式通过预编译SQL语句并绑定变量来实现安全的数据访问操作[^3]。 ```java String sql = "SELECT * FROM users WHERE username=? AND password=?"; try (PreparedStatement pstmt = connection.prepareStatement(sql)) { pstmt.setString(1, userInputUsername); pstmt.setString(2, userInputPassword); ResultSet rs = pstmt.executeQuery(); } ``` 此代码片段展示了如何利用`PreparedStatement`接口创建带有问号占位符的SQL命令字符串,并随后调用相应类型的setter方法设置实际值。由于这些值不会被解释为SQL的一部分而是作为单独传递给数据库引擎处理的数据项对待,因此可以有效地抵御恶意构造输入带来的风险。 #### 利用ORM框架特性 现代对象关系映射(ORM)工具通常内置了防范措施以应对潜在威胁。例如MyBatis框架支持使用`${}`语法直接嵌入未经转义的内容到最终构建出来的SQL表达式里;然而更建议的做法是运用`#{}`形式指定字段名,这会触发内部机制自动转换为目标表单上的参数位置标记——即前述提到过的问号符号,从而确保整个流程遵循严格的验证逻辑[^4]。 ```xml <select id="getUserById" parameterType="int" resultType="User"> SELECT * FROM users WHERE id=#{id}; </select> ``` 上述XML配置文件定义了一个简单的数据检索请求模板,其中`#{id}`部分会被替换成由外部传入的具体数值而不必担心引起任何意外后果。 #### 输入校验与清理 除了依赖底层API提供的保护手段外,应用层面上也应当加强对用户提交信息合法性的审查力度。具体而言就是针对不同场景设定合理的约束条件并对不符合预期格式的部分予以适当调整或拒绝接收: - 对于纯文本型别的属性可考虑限定最大长度; - 数字序列则需确认其范围合理性; - 特殊字符集务必经过严格筛选过滤掉可能引发解析错误甚至破坏结构稳定性的成分。 综上所述,在开发过程中始终贯彻以上原则有助于显著降低遭受SQL注入攻击的可能性,保障信息系统整体运行环境的安全可靠程度。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值