java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数
01 import java.io.IOException;
02 import java.util.Iterator;
03 import javax.servlet.Filter;
04 import javax.servlet.FilterChain;
05 import javax.servlet.FilterConfig;
06 import javax.servlet.ServletException;
07 import javax.servlet.ServletRequest;
08 import javax.servlet.ServletResponse;
09 import javax.servlet.http.HttpServletRequest;
10 import javax.servlet.http.HttpServletResponse;
11 /**
12 * 通过Filter过滤器来防SQL注入攻击
13 *
14 */
15 public class SQLFilter implements Filter {
16 private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,";
17 protected FilterConfig filterConfig = null;
18 /**
19 * Should a character encoding specified by the client be ignored?
20 */
21 protected boolean ignore = true;
22 public void init(FilterConfig config) throws ServletException {
23 this.filterConfig = config;
24 this.inj_str = filterConfig.getInitParameter("keywords");
25 }
26 public void doFilter(ServletRequest request, ServletResponse response,
27 FilterChain chain) throws IOException, ServletException {
28 HttpServletRequest req = (HttpServletRequest)request;
29 HttpServletResponse res = (HttpServletResponse)response;
30 Iterator values = req.getParameterMap().values().iterator();//获取所有的表单参数
31 while(values.hasNext()){
32 String[] value = (String[])values.next();
33 for(int i = 0;i < value.length;i++){
34 if(sql_inj(value[i])){
35 //TODO这里发现sql注入代码的业务逻辑代码
36 return;
37 }
38 }
39 }
40 chain.doFilter(request, response);
41 }
42 public boolean sql_inj(String str)
43 {
44 String[] inj_stra=inj_str.split("\\|");
45 for (int i=0 ; i < inj_stra.length ; i++ )
46 {
47 if (str.indexOf(" "+inj_stra[i]+" ")>=0)
天气渐渐热起来,很快,就迎来了天天吹空调的日子。市场上的空调品牌有很多种。对于不知道做什么或者缺乏品牌理解的人来说,他们很迷茫。我们买空调的时候发现上面有能效标识,那么买一级能效的空调和三级能效的...
英短猫配种或许需要500到1000元。可能不给钱,生下小猫后送一只小猫也行。这就需要和别的一只猫主人磋商了。 主要是看品种以及猫咪品相,假如只是普通田园猫,那不要钱,到网上宣布下信息就可以,家...
人人都说数控好,其中苦累谁知晓,编个程序废大脑,对刀调试怕撞刀,找个螺丝到处跑,工件加工时间少,上个厕所都要跑,厂里饭菜真叫好,田园风味真不少,炒个青菜还加草,汤中苍蝇在洗澡,桌上蚂蚁在赛跑,你说生活...
内衣是每个人的必须品,因而它面对的市场人群非常大,做得好自然能赚大钱,这也是很多投资者看好内衣店的原因。开内衣店选址最重要,好的店址会让内衣店生意兴旺,接下来衣联网小编告诉各位内衣加盟稳赚不赔的六大选...
关于标题关键词堆彻的问题,为什么旧事重提,这是近期,站长遍及反响,网站排名消失的主要原因,特别是一些站长以为:早前,我的标题一直是这样的,怎样现在忽然出问题实际上,搜索算法是不断在改动的,早在清风算法...
这款网络病毒或许是史上最“霸气”的一个,它被命名为“幽灵推”。会隐藏在一些流行的工具软件中,比如曾经风靡一时的“会说话的汤姆猫”,就被发现携带过此种病毒。当然,并不是说所有的“会说话的汤姆猫”都会携带...