❶ 如何防止网站被sql注入攻击之java网站安全部署
开发阶段: 使用预编译的sql 比如statement --> preparedStatement,使用orm框架时 setParameter(参数绑定,而不是在语句中直接拼接),或者通过servlet进行所有请求拦截过滤攻击字符
网站10大常见安全漏洞及解决方案
❷ 不建议在jsp页面中直接写语句连接数据库,那应该写在哪里怎么写安全
应该写在Javabean中,在Java开发中有一个设计模式,叫做mvc,意思是model(模型)-view(视图)-controller(控制器),简单的说吧,在这里,模型就是javaBean,用来封装和书写逻辑,视图就是jsp,用来显示界面,控制器是servlet用来控制接收和跳转。这样是比较好的一种形式,最起码现在很多小型项目都还在用。在学习的时候也首推此模式。
具体的用法是,在javabean的DAO类的方法中书写数据库连接语句,如果可以的话,先建立一个BaseDAO类作为基类,里面两个方法,分别是数据库连接和资源释放的方法。那么在其子类中使用增删改查方法的时候就可以直接调用这两个方法来,这样写起来简单,而且安全。如果还不清楚就QQ我吧。291901404
❸ jsp注入的防范(希望有代码和注释)
用PreparedStatement处理SQL语句,就是预编译。
然后生成的SQL语句会变成:
比如说SELECT username,password FROM account WHERE username=? AND password=?
?号就是参数,你只要设定好参数类别,比如说第一个是Integer类型的,第二个市String,就会好点。
当然不要忘了,
在DAO里检测对方所传过来的参数是否合法
干脆就不然他有?<>+='"之类的东西出现,
有的话一律返回告知不合法。。