❶ Java中如何解決sql 注入漏洞
1、對傳遞過來的參數值段做過濾處理 包含sql操作關鍵字的幹掉!當然這個要符合你的業務需求
2、不要對sql語句做拼接處理 可以用類似 jdbc中的preparestatement動態sql技術 生成sql
3、對傳遞進來的參數值做字元串轉義 'sql do some' 讓資料庫把這段當成一段字元串處理 而不進行操作編譯
❷ 用java編寫防止SQL注入!求java高手指點!問題解決後,一定提高懸賞!
SQL注入無非就是把對單引號和雙"-"進行轉換。
最好不要拼裝SQL語句,以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。
❸ java防止SQL注入的幾個途徑
java防SQL注入,最簡單的辦法是杜絕SQL拼接,SQL注入攻擊能得逞是因為在原有SQL語句中加入了新的邏輯,如果使用PreparedStatement來代替Statement來執行SQL語句,其後只是輸入參數,SQL注入攻擊手段將無效,這是因為PreparedStatement不允許在不同的插入時間改變查詢的邏輯結構,大部分的SQL注入已經擋住了,在WEB層我們可以過濾用戶的輸入來防止SQL注入比如用Filter來過濾全局的表單參數
01importjava.io.IOException;
02importjava.util.Iterator;
03importjavax.servlet.Filter;
04importjavax.servlet.FilterChain;
05importjavax.servlet.FilterConfig;
06importjavax.servlet.ServletException;
07importjavax.servlet.ServletRequest;
08importjavax.servlet.ServletResponse;
09importjavax.servlet.http.HttpServletRequest;
10importjavax.servlet.http.HttpServletResponse;
11/**
12*通過Filter過濾器來防SQL注入攻擊
13*
14*/
{
16privateStringinj_str="'|and|exec|insert|select|delete|update|count|*|%
|chr|mid|master|truncate|char|declare|;|or|-|+|,";
=null;
18/**
19*?
20*/
21protectedbooleanignore=true;
22publicvoidinit(FilterConfigconfig)throwsServletException{
23this.filterConfig=config;
24this.inj_str=filterConfig.getInitParameter("keywords");
25}
26publicvoiddoFilter(ServletRequestrequest,ServletResponseresponse,
27FilterChainchain)throwsIOException,ServletException{
28HttpServletRequestreq=(HttpServletRequest)request;
29HttpServletResponseres=(HttpServletResponse)response;
30Iteratorvalues=req.getParameterMap().values().iterator();//獲取所有的表單參數
31while(values.hasNext()){
32String[]value=(String[])values.next();
33for(inti=0;i<value.length;i++){
34if(sql_inj(value[i])){
35//TODO這里發現sql注入代碼的業務邏輯代碼
36return;
37}
38}
39}
40chain.doFilter(request,response);
41}
42publicbooleansql_inj(Stringstr)
43{
44String[]inj_stra=inj_str.split("\|");
45for(inti=0;i<inj_stra.length;i++)
46{
47if(str.indexOf(""+inj_stra[i]+"")>=0)
48{
49returntrue;
50}
51}
52returnfalse;
53}
54}
也可以單獨在需要防範SQL注入的JavaBean的欄位上過濾:
1/**
2*防止sql注入
3*
4*@paramsql
5*@return
6*/
(Stringsql){
8returnsql.replaceAll(".*([';]+|(--)+).*","");
9}
❹ 如何在Java Filter 中注入 Service
0
既然你要需要統計網站流量數據,使用filter,而這個filter使用了一個Service,肯定是是用其一個方法。
照這么看著,我看根本不需要這個filter,在調用這個方法之前使用一個攔截器,亦稱spring方法攔截器。在這個攔截器中的繼承方法中統計網站流量數據。
==================================================
或者:用 硬編碼 在Filter里 new 一個 Service 了出來
❺ 在java中的鏈接資料庫中什麼是SQL的注入漏洞請簡單介紹下。
隨著B/S模式應用開發的發展,使用這種模式編寫應用程序的程序員也越來越多。但是由於程序員的水平及經驗也參差不齊,相當大一部分程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。用戶可以提交一段資料庫查詢代碼,根
據程序返回的結果,獲得某些他想得知的數據,這就是所謂的SQL Injection,即SQL注入。
❻ java防止sql注入有哪些方法
前台我們可以通過過濾用戶輸入,後台可以通過PreparedStatement來代替Statement來執行SQL語句。
❼ java 多條件查詢的sql怎麼防止sql注入漏洞
原理,過濾所有請求中含有非法的字元,例如:, & < select delete 等關鍵字,黑客可以利用這些字元進行注入攻擊,原理是後台實現使用拼接字元串!
你的採納是我前進的動力,
記得好評和採納,答題不易,互相幫助,
手機提問的朋友在客戶端右上角評價點(滿意)即可.
如果你認可我的回答,請及時點擊(採納為滿意回答)按鈕!!
❽ 防止sql注入,求大神指點,因為我是剛學java,有些還需要注釋,下面是摘抄的,但是我不懂
剛學 就先不要 考慮SQL注入的情況 ,
等 你學到一定時候 ,自然 就明白 了。
❾ java如何防止sql注入
採用預編譯語句集,它內置了處理SQL注入的能力,只要使用它的setString方法傳值即可:
String
sql=
"select
*
from
users
where
username=?;
PreparedStatement
preState
=
conn.prepareStatement(sql);
preState.setString(1,
userName);
preState.setString(2,
password);
ResultSet
rs
=
preState.executeQuery();
❿ j2ee怎麼防止sql注入
開發web的過程中,需要防範sql注入,或是javascript代碼注入,以下通過過濾器(filter)實現的,只實現了tomcat和weblogic下,其它應用伺服器可以參照實現即可。
非常簡單只需三個步驟:
第一步,在你的工程加入如下所示的過濾器代碼,一共兩個類:
CharFilter.java
[java] view plain
package com.hyjx.filter;
import java.io.IOException;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
import java.util.Map.Entry;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.RequestDispatcher;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.log4j.Logger;
/**
* @author jfish
* @since 2006.1.12
*/
public class CharFilter implements Filter {
public FilterConfig config;
public void setFilterConfig(FilterConfig config) {
this.config = config;
}
public FilterConfig getFilterConfig() {
return config;
}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse res = (HttpServletResponse) response;
boolean filter = true;// 是否過濾;
String excludeURL;// 不過濾的url地址
excludeURL = config.getInitParameter("excludeURL");
if (excludeURL == null || "".equals(excludeURL)) {
filter = true;
} else {
String url = req.getRequestURI();// url地址
String[] excludeURLA = excludeURL.split(",");
for (int i = 0; i < excludeURLA.length; i++) {
if (url.indexOf(excludeURLA[i]) > 0) {// 如果含有不讓過濾的url地址則不過濾。
filter = false;
}
}
}
//得到應用伺服器類型
String appServer = config.getInitParameter("appServer");
if(filter)//需要過濾
{
if("tomcat".equals(appServer))//應用伺服器為tomcat時則:
{
if(checkTomcat(req,res))
{
String webapp = req.getContextPath();
res.sendRedirect(webapp + "/charError/charError.html");
}
else
{
chain.doFilter(request, response);
}
}
else//應用伺服器為weblogic時則:
{
Map m = req.getParameterMap();
if(req instanceof ParameterRequestWrapper) {
m = ((ParameterRequestWrapper)req).getSuperRequest().getParameterMap();
req = ((ParameterRequestWrapper)req).getSuperRequest();
}
//System.out.println(((String[])m.get("op"))[0] + "-----------" + req.getParameter("op"));
ParameterRequestWrapper wrapRequest=new ParameterRequestWrapper(req, m);
if(checkWeblogic(wrapRequest, res))
{
String webapp = req.getContextPath();
res.sendRedirect(webapp + "/charError/charError.html");
}
else
{
chain.doFilter(wrapRequest, response);
}
}
}
else//不需要過濾
{
chain.doFilter(request, response);
}
}
public boolean checkWeblogic(HttpServletRequest req, HttpServletResponse response) {
Map map = req.getParameterMap();
Set set = map.entrySet();
//request中的參數設置
boolean bl = false;
if (map != null) {
for (Iterator it = set.iterator(); it.hasNext();) {
Map.Entry entry = (Entry) it.next();
if (entry.getValue() instanceof String[]) {
String[] values = (String[]) entry.getValue();
for (int i = 0; i < values.length; i++) {
//替換成全形字元。
values[i] = getQjString(values[i]);
//是否包含有特殊字元
if (getCheckString(values[i])) {
return true;
}
}
}
}
}
//cookie過濾:除了JSESSIONID以外的cookie進行過濾
Cookie[] cookies = req.getCookies();
String cookieName = "";
String cookieValue="";
if(cookies!=null)
{
for (int i = 0; i < cookies.length; i++)
{
Cookie c = cookies[i];
cookieName = c.getName();
//System.out.println("=======cookie:"+cookieName);
if(cookieName!= null && !"JSESSIONID".equals(cookieName.toUpperCase()))
{
cookieValue = c.getValue();
if (getCheckString(cookieValue)) {
return true;
}
//進行特殊字元替換
cookieValue = getQjString(cookieValue);
c.setValue(cookieValue);
response.addCookie(c) ;
}
}
}
return bl;
}
public boolean checkTomcat(HttpServletRequest req, HttpServletResponse response) {
Map map = req.getParameterMap();
//運用反射機制,讓其可修改。
try
{
Method method=map.getClass().getMethod("setLocked",new Class[]{boolean.class});
method.invoke(map,new Object[]{new Boolean(false)});
}
catch(Exception e)
{
e.printStackTrace();
}
Set set = map.entrySet();
boolean bl = false;
if (map != null) {
for (Iterator it = set.iterator(); it.hasNext();) {
Map.Entry entry = (Entry) it.next();
if (entry.getValue() instanceof String[]) {
String[] values = (String[]) entry.getValue();
for (int i = 0; i < values.length; i++) {
//替換成全形字元。
values[i] = getQjString(values[i]);
//是否包含有特殊字元
if (getCheckString(values[i])) {
return true;
}
}
}
}
}
//cookie過濾:除了JSESSIONID以外的cookie進行過濾
Cookie[] cookies = req.getCookies();
String cookieName = "";
String cookieValue="";
if(cookies!=null)
{
for (int i = 0; i < cookies.length; i++)
{
Cookie c = cookies[i];
cookieName = c.getName();
//System.out.println("=======cookie:"+cookieName);
if(!"JSESSIONID".equals(cookieName))
{
cookieValue = c.getValue();
if (getCheckString(cookieValue)) {
return true;
}
//進行特殊字元替換
cookieValue = getQjString(cookieValue);
c.setValue(cookieValue);
response.addCookie(c) ;
}
}
}
return bl;
}
//特殊符號替換成全形.
/*
單引號'
雙引號"
小於號<
大於號>
分號;
等號=
注釋符--