sql字元串拼接防注入

1. 字元串拼接不能有效防止sql注入嗎，該怎麼解決

可以防止啊
只要嚴格控制輸入字元串的格式和大小，每次都接受的數據，進行檢測，發現非法的數據，進行相關處理

2. java拼接sql怎麼防止注入

使用Hibernate框架的SQL注入防範 Hibernate是目前使用最多的ORM框架，在Java Web開發中，很多時候不直接使用JDBC，而使用Hibernate來提高開發效率。
在Hibernate中，仍然不應該通過拼接HQL的方式，而應使用參數化的方式來防範SQL注入。有兩種方式，一種仍然是使用JDBC一樣的佔位符「?」，但更好的方式是使用Hibernate的命名參數，例如檢測用戶名和密碼是否正確，使用Hibernate可以寫成：
String queryStr = 「from user where username=:username 」+」password=:password」;
List result = session.createQuery(queryStr).setString("username", username).setString("password", password).list();

3. 什麼是sql注入如何防止sql注入

SQL注入是一種非常常見的資料庫攻擊手段，同時也是網路世界中最普遍的漏洞之一，簡單理解就是惡意用戶通過在表單中填寫包含SQL關鍵字的數據來使資料庫執行非常規代碼的過程。
問題來源是，SQL資料庫的操作是通過SQL語句來執行的，而無論是執行代碼還是數據項都必須寫在SQL語句中，也就導致如果我們在數據項中加入了某些SQL語句關鍵字，比如SELECT、DROP等，這些關鍵字就很有可能在資料庫寫入或讀取數據時得到執行。
解決方案
方案一：
採用預編譯技術
使用預編譯的SQL語句，SQL語句的語義不會是不會發生改變的。預編譯語句在創建的時候就已經將指定的SQL語句發送給了DBMS，完成了解析，檢查，編譯等工作，所以攻擊者無法改變SQL語句的結構，只是把值賦給?，然後將?這個變數傳給SQL語句。當然還有一些通過預編譯繞過某些安全防護的操作，大家感興趣可以去搜索一下。
方案二：
嚴格控制數據類型
在java、c等強類型語言中一般是不存在數字型注入的，因為在接受到用戶輸入id時，代碼一般會做一個int id 的數據類型轉換，假如我們輸入的是字元串的話，那麼這種情況下，程序就會報錯。但是在PHP、ASP這些沒有強調處理數據類型的語言，一般我們看到的接收id的代碼都是如下等代碼。
方案三：
對特殊的字元進行轉義
數字型注入可以通過檢查數據類型防止，但是字元型不可以，那麼怎麼辦呢，最好的辦法就是對特殊的字元進行轉義了。比如在MySQL中我們可以對" '
"進行轉義，這樣就防止了一些惡意攻擊者來閉合語句。當然我們也可以通過一些安全函數來轉義特殊字元。如addslashes()等，但是這些函數並非一勞永逸，攻擊者還可以通過一些特殊的方式繞過。

4. SQL注入怎麼防範

SQL注入攻擊的危害很大，而且防火牆很難對攻擊行為進行攔截，主要的SQL注入攻擊防範方法，具體有以下幾個方面：
1、分級管理
對用戶進行分級管理，嚴格控制用戶的許可權，對於普通用戶，禁止給予資料庫建立、刪除、修改等相關許可權，只有系統管理員才具有增、刪、改、查的許可權。
2、參數傳值
程序員在書寫SQL語言時，禁止將變數直接寫入到SQL語句，必須通過設置相應的參數來傳遞相關的變數。從而抑制SQL注入。數據輸入不能直接嵌入到查詢語句中。同時要過濾輸入的內容，過濾掉不安全的輸入數據。或者採用參數傳值的方式傳遞輸入變數，這樣可以最大程度防範SQL注入攻擊。
3、基礎過濾與二次過濾
SQL注入攻擊前，入侵者通過修改參數提交and等特殊字元，判斷是否存在漏洞，然後通過select、update等各種字元編寫SQL注入語句。因此防範SQL注入要對用戶輸入進行檢查，確保數據輸入的安全性，在具體檢查輸入或提交的變數時，對於單引號、雙引號、冒號等字元進行轉換或者過濾，從而有效防止SQL注入。
當然危險字元有很多，在獲取用戶輸入提交參數時，首先要進行基礎過濾，然後根據程序的功能及用戶輸入的可能性進行二次過濾，以確保系統的安全性。
4、使用安全參數
SQL資料庫為了有效抑制SQL注入攻擊的影響。在進行SQLServer資料庫設計時設置了專門的SQL安全參數。在程序編寫時應盡量使用安全參數來杜絕注入式攻擊，從而確保系統的安全性。
5、漏洞掃描
為了更有效地防範SQL注入攻擊，作為系統管理除了設置有效的防範措施，更應該及時發現系統存在SQL攻擊安全漏洞。系統管理員可以采購一些SQL漏洞掃描工具，通過專業的掃描工具，可以及時的掃描到系統存在的相應漏洞。
6、多層驗證
現在的網站系統功能越來越龐大復雜。為確保系統的安全，訪問者的數據輸入必須經過嚴格的驗證才能進入系統，驗證沒通過的輸入直接被拒絕訪問資料庫，並且向上層系統發出錯誤提示信息。同時在客戶端訪問程序中驗證訪問者的相關輸入信息，從而更有效的防止簡單的SQL注入。但是如果多層驗證中的下層如果驗證數據通過，那麼繞過客戶端的攻擊者就能夠隨意訪問系統。因此在進行多層驗證時，要每個層次相互配合，只有在客戶端和系統端都進行有效的驗證防護，才能更好地防範SQL注入攻擊。
7、資料庫信息加密
傳統的加解密方法大致分為三種：對稱加密、非對稱加密、不可逆加密。

5. 防止sql注入的最佳方式

1、利用第三方軟體加固，監控所有傳入的字元串
2、網上有很多防SQL注入代碼，引入到網頁的每一個需要傳值頁里
3、對於每一個傳值，進行數據類型、長度、規則等判斷，比如傳入ID=1，你要判斷ID里的是不是數字，且不會超過多少位，如果不滿足條件就做其它處理
通常就這三種方法

6. 防止sql注入漏洞可以用哪些函數

1. 防止sql注入攻擊，在資料庫方面，針對每一個表的增刪改，寫存儲過程，程序主要靠存儲過程操作數據。
   

2. 在代碼中，個別特殊需要數據查詢的，如果不能通過存儲過程，那就盡量用傳參的方式，盡量不要拼接sql。

3. 如果非要拼接，要對拼接字元串進行處理，Tools的如下字元串處理方法可以防止注入攻擊：

4. ///<summary>
   ///格式化文本（防止SQL注入）
   ///</summary>
   ///<paramname="str"></param>
   ///<returns></returns>
   publicstaticstringAntiSQL(stringhtml)
   {
   Regexregex1=newRegex(@"<script[sS]+</script*>",RegexOptions.IgnoreCase);
   Regexregex2=newRegex(@"href*=*[sS]*script*:",RegexOptions.IgnoreCase);
   Regexregex3=newRegex(@"on[sS]*=",RegexOptions.IgnoreCase);
   Regexregex4=newRegex(@"<iframe[sS]+</iframe*>",RegexOptions.IgnoreCase);
   Regexregex5=newRegex(@"<frameset[sS]+</frameset*>",RegexOptions.IgnoreCase);
   Regexregex10=newRegex(@"select",RegexOptions.IgnoreCase);
   Regexregex11=newRegex(@"update",RegexOptions.IgnoreCase);
   Regexregex12=newRegex(@"delete",RegexOptions.IgnoreCase);
   html=regex1.Replace(html,"");//過濾<script></script>標記
   html=regex2.Replace(html,"");//過濾href=javascript:(<A>)屬性
   html=regex3.Replace(html,"_disibledevent=");//過濾其它控制項的on...事件
   html=regex4.Replace(html,"");//過濾iframe
   html=regex10.Replace(html,"s_elect");
   html=regex11.Replace(html,"u_pudate");
   html=regex12.Replace(html,"d_elete");
   html=html.Replace("'","』");
   html=html.Replace("&nbsp;","");
   returnhtml;
   }

7. 求編程時防止SQL注入的技巧

永遠不要用字元串拼接Sql語句就肯定不會被注入
(使用參數化查詢代替字元串拼接)

但是有些場合是無法參數化的,(比如早期2000之前的SqlServer不支持top參數,如果你需要把top的數量參數化,只能拼接字元串)
在這種時候要顯式地判斷輸入的合法性,比如上面top這個例子要求參數必須是數字.

有人說全部用存儲過程就不會被注入,這是錯誤的,
如果在存儲過程內部拼接並且沒有驗證,依然會被注入.

8. 什麼是sql注入，怎麼防止注入

sql注入其實就是在這些不安全控制項內輸入sql或其他資料庫的一些語句，從而達到欺騙伺服器執行惡意到嗎影響到資料庫的數據。防止sql注入，可以在接受不安全空間的內容時過濾掉接受字元串內的「'」，那麼他不再是一條sql語句，而是一個類似sql語句的zifuc，執行後也不會對資料庫有破壞。

如：

username = request("username") //獲取用戶名 這里是通過URL傳值獲取的。

password = request("password") //獲取密碼 也是通過URL傳值獲取的。

sql="select * from userlist where username = '" & username & "' and password = '" & password & "'"--------如果某個人知道某個用戶名是admin,常常有人網站的管理員用戶名就是admin,這是密碼可以選用'or 1 or ',

那麼sql="select * from userlist where username = 'admin' and password = '' or 1 or ''"，顯然1是恆真的，那麼驗證密碼就通過了。

防止的方式比較多，比如可以限制username,password中出現"'"這些字元，一般網站都是只允許數字，字元，下劃線的組合，這可以通過javascript驗證。也可以採取用存儲過程代替sql拼接，等等。

9. 如何有效的防止SQL連接字元串注入

這個要視具體情況了
1、一般是在將參數帶入到sql語句前進行判斷，如禁止關鍵字元出現，如「* or -- % =」等。
2、使用preparestatement，對帶入參數進行set