❶ 如何防止網站被sql注入攻擊之java網站安全部署
開發階段: 使用預編譯的sql 比如statement --> preparedStatement,使用orm框架時 setParameter(參數綁定,而不是在語句中直接拼接),或者通過servlet進行所有請求攔截過濾攻擊字元
網站10大常見安全漏洞及解決方案
❷ 不建議在jsp頁面中直接寫語句連接資料庫,那應該寫在哪裡怎麼寫安全
應該寫在Javabean中,在Java開發中有一個設計模式,叫做mvc,意思是model(模型)-view(視圖)-controller(控制器),簡單的說吧,在這里,模型就是javaBean,用來封裝和書寫邏輯,視圖就是jsp,用來顯示界面,控制器是servlet用來控制接收和跳轉。這樣是比較好的一種形式,最起碼現在很多小型項目都還在用。在學習的時候也首推此模式。
具體的用法是,在javabean的DAO類的方法中書寫資料庫連接語句,如果可以的話,先建立一個BaseDAO類作為基類,裡面兩個方法,分別是資料庫連接和資源釋放的方法。那麼在其子類中使用增刪改查方法的時候就可以直接調用這兩個方法來,這樣寫起來簡單,而且安全。如果還不清楚就QQ我吧。291901404
❸ jsp注入的防範(希望有代碼和注釋)
用PreparedStatement處理SQL語句,就是預編譯。
然後生成的SQL語句會變成:
比如說SELECT username,password FROM account WHERE username=? AND password=?
?號就是參數,你只要設定好參數類別,比如說第一個是Integer類型的,第二個市String,就會好點。
當然不要忘了,
在DAO里檢測對方所傳過來的參數是否合法
乾脆就不然他有?<>+='"之類的東西出現,
有的話一律返回告知不合法。。