java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数
01 import java.io.IOException;
02 import java.util.Iterator;
03 import javax.servlet.Filter;
04 import javax.servlet.FilterChain;
05 import javax.servlet.FilterConfig;
06 import javax.servlet.ServletException;
07 import javax.servlet.ServletRequest;
08 import javax.servlet.ServletResponse;
09 import javax.servlet.http.HttpServletRequest;
10 import javax.servlet.http.HttpServletResponse;
11 /**
12 * 通过Filter过滤器来防SQL注入攻击
13 *
14 */
15 public class SQLFilter implements Filter {
16 private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,";
17 protected FilterConfig filterConfig = null;
18 /**
19 * Should a character encoding specified by the client be ignored?
20 */
21 protected boolean ignore = true;
22 public void init(FilterConfig config) throws ServletException {
23 this.filterConfig = config;
24 this.inj_str = filterConfig.getInitParameter("keywords");
25 }
26 public void doFilter(ServletRequest request, ServletResponse response,
27 FilterChain chain) throws IOException, ServletException {
28 HttpServletRequest req = (HttpServletRequest)request;
29 HttpServletResponse res = (HttpServletResponse)response;
30 Iterator values = req.getParameterMap().values().iterator();//获取所有的表单参数
31 while(values.hasNext()){
32 String[] value = (String[])values.next();
33 for(int i = 0;i < value.length;i++){
34 if(sql_inj(value[i])){
35 //TODO这里发现sql注入代码的业务逻辑代码
36 return;
37 }
38 }
39 }
40 chain.doFilter(request, response);
41 }
42 public boolean sql_inj(String str)
43 {
44 String[] inj_stra=inj_str.split("\\|");
45 for (int i=0 ; i < inj_stra.length ; i++ )
46 {
47 if (str.indexOf(" "+inj_stra[i]+" ")>=0)
开启讯捷PDF转化器,点一下CAD变换,挑选PDF转CAD,PDF文档拖动到手机软件正中间虚线框中,輸出文件目录启用原文件夹名称文件目录,点一下逐渐变换,等候变换进行就可以。 知名品牌型号规格:想到G...
本文导读目录: 1、黑客是怎么通过代码来攻击游览者的 2、制作电脑恶作剧程序(只是捉弄一下我朋友不要伤害他的电脑,我没恶意) 3、求Bat整人代码。。很搞笑很吓人但是很安全! 4、黑客攻击...
手机管家怎么查微信聊天记录(数据管家可以恢复聊天记录吗)心情不好了,来一杯奶茶 天气冷了,来一杯奶茶 方案被否掉想吐槽百思特网,来一杯奶茶 …… 总之无论如何 年轻人们都有理由来杯奶茶...
开宾馆记录能随便查吗(酒店开的房记录谁能查),通常住在旅店的人都晓得,房间杂音大的时分,能听到隔邻房间大概表面的走廊,由于旅店的房间相对集中,隔音结果...
每个人都非常熟悉痔疮,一种肛门直肠疾病,因为在我们的生活中,患痔疮的人数很大。虽然痔疮似乎不是一种严重的疾病,但是痔疮的发生给我们的正常生活带来的一些不良影响和麻烦是不可忽视的。劳动人口尤其是久坐上班...
本文目录一览: 1、史上最有影响力的黑客是谁 ?? 2、世界顶尖黑客都是谁? 3、世界十大黑客的莫里斯 4、史上最厉害的黑客是谁? 5、史上最厉害的黑客是谁? 史上最有影响力的黑客是...