sql字符串拼接防注入

1. 字符串拼接不能有效防止sql注入吗，该怎么解决

可以防止啊
只要严格控制输入字符串的格式和大小，每次都接受的数据，进行检测，发现非法的数据，进行相关处理

2. java拼接sql怎么防止注入

使用Hibernate框架的SQL注入防范 Hibernate是目前使用最多的ORM框架，在Java Web开发中，很多时候不直接使用JDBC，而使用Hibernate来提高开发效率。
在Hibernate中，仍然不应该通过拼接HQL的方式，而应使用参数化的方式来防范SQL注入。有两种方式，一种仍然是使用JDBC一样的占位符“?”，但更好的方式是使用Hibernate的命名参数，例如检测用户名和密码是否正确，使用Hibernate可以写成：
String queryStr = “from user where username=:username ”+”password=:password”;
List result = session.createQuery(queryStr).setString("username", username).setString("password", password).list();

3. 什么是sql注入如何防止sql注入

SQL注入是一种非常常见的数据库攻击手段，同时也是网络世界中最普遍的漏洞之一，简单理解就是恶意用户通过在表单中填写包含SQL关键字的数据来使数据库执行非常规代码的过程。
问题来源是，SQL数据库的操作是通过SQL语句来执行的，而无论是执行代码还是数据项都必须写在SQL语句中，也就导致如果我们在数据项中加入了某些SQL语句关键字，比如SELECT、DROP等，这些关键字就很有可能在数据库写入或读取数据时得到执行。
解决方案
方案一：
采用预编译技术
使用预编译的SQL语句，SQL语句的语义不会是不会发生改变的。预编译语句在创建的时候就已经将指定的SQL语句发送给了DBMS，完成了解析，检查，编译等工作，所以攻击者无法改变SQL语句的结构，只是把值赋给?，然后将?这个变量传给SQL语句。当然还有一些通过预编译绕过某些安全防护的操作，大家感兴趣可以去搜索一下。
方案二：
严格控制数据类型
在java、c等强类型语言中一般是不存在数字型注入的，因为在接受到用户输入id时，代码一般会做一个int id 的数据类型转换，假如我们输入的是字符串的话，那么这种情况下，程序就会报错。但是在PHP、ASP这些没有强调处理数据类型的语言，一般我们看到的接收id的代码都是如下等代码。
方案三：
对特殊的字符进行转义
数字型注入可以通过检查数据类型防止，但是字符型不可以，那么怎么办呢，最好的办法就是对特殊的字符进行转义了。比如在MySQL中我们可以对" '
"进行转义，这样就防止了一些恶意攻击者来闭合语句。当然我们也可以通过一些安全函数来转义特殊字符。如addslashes()等，但是这些函数并非一劳永逸，攻击者还可以通过一些特殊的方式绕过。

4. SQL注入怎么防范

SQL注入攻击的危害很大，而且防火墙很难对攻击行为进行拦截，主要的SQL注入攻击防范方法，具体有以下几个方面：
1、分级管理
对用户进行分级管理，严格控制用户的权限，对于普通用户，禁止给予数据库建立、删除、修改等相关权限，只有系统管理员才具有增、删、改、查的权限。
2、参数传值
程序员在书写SQL语言时，禁止将变量直接写入到SQL语句，必须通过设置相应的参数来传递相关的变量。从而抑制SQL注入。数据输入不能直接嵌入到查询语句中。同时要过滤输入的内容，过滤掉不安全的输入数据。或者采用参数传值的方式传递输入变量，这样可以最大程度防范SQL注入攻击。
3、基础过滤与二次过滤
SQL注入攻击前，入侵者通过修改参数提交and等特殊字符，判断是否存在漏洞，然后通过select、update等各种字符编写SQL注入语句。因此防范SQL注入要对用户输入进行检查，确保数据输入的安全性，在具体检查输入或提交的变量时，对于单引号、双引号、冒号等字符进行转换或者过滤，从而有效防止SQL注入。
当然危险字符有很多，在获取用户输入提交参数时，首先要进行基础过滤，然后根据程序的功能及用户输入的可能性进行二次过滤，以确保系统的安全性。
4、使用安全参数
SQL数据库为了有效抑制SQL注入攻击的影响。在进行SQLServer数据库设计时设置了专门的SQL安全参数。在程序编写时应尽量使用安全参数来杜绝注入式攻击，从而确保系统的安全性。
5、漏洞扫描
为了更有效地防范SQL注入攻击，作为系统管理除了设置有效的防范措施，更应该及时发现系统存在SQL攻击安全漏洞。系统管理员可以采购一些SQL漏洞扫描工具，通过专业的扫描工具，可以及时的扫描到系统存在的相应漏洞。
6、多层验证
现在的网站系统功能越来越庞大复杂。为确保系统的安全，访问者的数据输入必须经过严格的验证才能进入系统，验证没通过的输入直接被拒绝访问数据库，并且向上层系统发出错误提示信息。同时在客户端访问程序中验证访问者的相关输入信息，从而更有效的防止简单的SQL注入。但是如果多层验证中的下层如果验证数据通过，那么绕过客户端的攻击者就能够随意访问系统。因此在进行多层验证时，要每个层次相互配合，只有在客户端和系统端都进行有效的验证防护，才能更好地防范SQL注入攻击。
7、数据库信息加密
传统的加解密方法大致分为三种：对称加密、非对称加密、不可逆加密。

5. 防止sql注入的最佳方式

1、利用第三方软件加固，监控所有传入的字符串
2、网上有很多防SQL注入代码，引入到网页的每一个需要传值页里
3、对于每一个传值，进行数据类型、长度、规则等判断，比如传入ID=1，你要判断ID里的是不是数字，且不会超过多少位，如果不满足条件就做其它处理
通常就这三种方法

6. 防止sql注入漏洞可以用哪些函数

1. 防止sql注入攻击，在数据库方面，针对每一个表的增删改，写存储过程，程序主要靠存储过程操作数据。
   

2. 在代码中，个别特殊需要数据查询的，如果不能通过存储过程，那就尽量用传参的方式，尽量不要拼接sql。

3. 如果非要拼接，要对拼接字符串进行处理，Tools的如下字符串处理方法可以防止注入攻击：

4. ///<summary>
   ///格式化文本（防止SQL注入）
   ///</summary>
   ///<paramname="str"></param>
   ///<returns></returns>
   publicstaticstringAntiSQL(stringhtml)
   {
   Regexregex1=newRegex(@"<script[sS]+</script*>",RegexOptions.IgnoreCase);
   Regexregex2=newRegex(@"href*=*[sS]*script*:",RegexOptions.IgnoreCase);
   Regexregex3=newRegex(@"on[sS]*=",RegexOptions.IgnoreCase);
   Regexregex4=newRegex(@"<iframe[sS]+</iframe*>",RegexOptions.IgnoreCase);
   Regexregex5=newRegex(@"<frameset[sS]+</frameset*>",RegexOptions.IgnoreCase);
   Regexregex10=newRegex(@"select",RegexOptions.IgnoreCase);
   Regexregex11=newRegex(@"update",RegexOptions.IgnoreCase);
   Regexregex12=newRegex(@"delete",RegexOptions.IgnoreCase);
   html=regex1.Replace(html,"");//过滤<script></script>标记
   html=regex2.Replace(html,"");//过滤href=javascript:(<A>)属性
   html=regex3.Replace(html,"_disibledevent=");//过滤其它控件的on...事件
   html=regex4.Replace(html,"");//过滤iframe
   html=regex10.Replace(html,"s_elect");
   html=regex11.Replace(html,"u_pudate");
   html=regex12.Replace(html,"d_elete");
   html=html.Replace("'","’");
   html=html.Replace("&nbsp;","");
   returnhtml;
   }

7. 求编程时防止SQL注入的技巧

永远不要用字符串拼接Sql语句就肯定不会被注入
(使用参数化查询代替字符串拼接)

但是有些场合是无法参数化的,(比如早期2000之前的SqlServer不支持top参数,如果你需要把top的数量参数化,只能拼接字符串)
在这种时候要显式地判断输入的合法性,比如上面top这个例子要求参数必须是数字.

有人说全部用存储过程就不会被注入,这是错误的,
如果在存储过程内部拼接并且没有验证,依然会被注入.

8. 什么是sql注入，怎么防止注入

sql注入其实就是在这些不安全控件内输入sql或其他数据库的一些语句，从而达到欺骗服务器执行恶意到吗影响到数据库的数据。防止sql注入，可以在接受不安全空间的内容时过滤掉接受字符串内的“'”，那么他不再是一条sql语句，而是一个类似sql语句的zifuc，执行后也不会对数据库有破坏。

如：

username = request("username") //获取用户名 这里是通过URL传值获取的。

password = request("password") //获取密码 也是通过URL传值获取的。

sql="select * from userlist where username = '" & username & "' and password = '" & password & "'"--------如果某个人知道某个用户名是admin,常常有人网站的管理员用户名就是admin,这是密码可以选用'or 1 or ',

那么sql="select * from userlist where username = 'admin' and password = '' or 1 or ''"，显然1是恒真的，那么验证密码就通过了。

防止的方式比较多，比如可以限制username,password中出现"'"这些字符，一般网站都是只允许数字，字符，下划线的组合，这可以通过javascript验证。也可以采取用存储过程代替sql拼接，等等。

9. 如何有效的防止SQL连接字符串注入

这个要视具体情况了
1、一般是在将参数带入到sql语句前进行判断，如禁止关键字符出现，如“* or -- % =”等。
2、使用preparestatement，对带入参数进行set