javasql注入過濾第三方包

A. java防止SQL注入的問題

"select * from where uname=? and upass=?"; select * from 表名，你的表名呢？沒表名就直接where？

B. java防止SQL注入的幾個途徑

• java防SQL注入,最簡單的辦法是杜絕SQL拼接,SQL注入攻擊能得逞是因為在原有SQL語句中加入了新的邏輯，如果使用PreparedStatement來代替Statement來執行SQL語句，其後只是輸入參數，SQL注入攻擊手段將無效，這是因為PreparedStatement不允許在不同的插入時間改變查詢的邏輯結構,大部分的SQL注入已經擋住了,在WEB層我們可以過濾用戶的輸入來防止SQL注入比如用Filter來過濾全局的表單參數

• 01importjava.io.IOException;

• 02importjava.util.Iterator;

• 03importjavax.servlet.Filter;

• 04importjavax.servlet.FilterChain;

• 05importjavax.servlet.FilterConfig;

• 06importjavax.servlet.ServletException;

• 07importjavax.servlet.ServletRequest;

• 08importjavax.servlet.ServletResponse;

• 09importjavax.servlet.http.HttpServletRequest;

• 10importjavax.servlet.http.HttpServletResponse;

• 11/**

• 12*通過Filter過濾器來防SQL注入攻擊

• 13*

• 14*/

• {

• 16privateStringinj_str="'|and|exec|insert|select|delete|update|count|*|%

• |chr|mid|master|truncate|char|declare|;|or|-|+|,";
  

• =null;

• 18/**

• 19*?

• 20*/

• 21protectedbooleanignore=true;

• 22publicvoidinit(FilterConfigconfig)throwsServletException{

• 23this.filterConfig=config;

• 24this.inj_str=filterConfig.getInitParameter("keywords");

• 25}

• 26publicvoiddoFilter(ServletRequestrequest,ServletResponseresponse,

• 27FilterChainchain)throwsIOException,ServletException{

• 28HttpServletRequestreq=(HttpServletRequest)request;

• 29HttpServletResponseres=(HttpServletResponse)response;

• 30Iteratorvalues=req.getParameterMap().values().iterator();//獲取所有的表單參數

• 31while(values.hasNext()){

• 32String[]value=(String[])values.next();

• 33for(inti=0;i<value.length;i++){

• 34if(sql_inj(value[i])){

• 35//TODO這里發現sql注入代碼的業務邏輯代碼

• 36return;

• 37}

• 38}

• 39}

• 40chain.doFilter(request,response);

• 41}

• 42publicbooleansql_inj(Stringstr)

• 43{

• 44String[]inj_stra=inj_str.split("\|");

• 45for(inti=0;i<inj_stra.length;i++)

• 46{

• 47if(str.indexOf(""+inj_stra[i]+"")>=0)

• 48{

• 49returntrue;

• 50}

• 51}

• 52returnfalse;

• 53}

• 54}

• 也可以單獨在需要防範SQL注入的JavaBean的欄位上過濾：

• 1/**

• 2*防止sql注入

• 3*

• 4*@paramsql

• 5*@return

• 6*/

• (Stringsql){

• 8returnsql.replaceAll(".*([';]+|(--)+).*","");

• 9}

C. 用java PreparedStatement就不用擔心sql注入了嗎

SQL Injection：是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢內字元串，最終達到欺騙服容務器執行惡意的SQL命令
select * from tab_name where name= '"+name+"' and passwd='"+passwd+"';
把其中passwd換成 [' or '1' = '1] 這樣就可以完成sql注入
PreparedStatement 對象用於執行帶或不帶參數的預編譯 SQL 語句
PreparedStatement 不允許在不同的插入時間改變查詢的邏輯結構，所以這種注入方式無效

D. java如何防止sql注入

採用預編譯語句集，它內置了處理SQL注入的能力，只要使用它的專setString方法傳值即屬可：
String
sql=
"select
*
from
users
where
username=?;
PreparedStatement
preState
=
conn.prepareStatement(sql);
preState.setString(1,
userName);
preState.setString(2,
password);
ResultSet
rs
=
preState.executeQuery();

E. Java中如何解決sql 注入漏洞

1、對傳遞過來的參數值段做過濾處理 包含sql操作關鍵字的幹掉！當然這個要符合你回的業務需求
2、不要答對sql語句做拼接處理 可以用類似 jdbc中的preparestatement動態sql技術 生成sql

3、對傳遞進來的參數值做字元串轉義 'sql do some' 讓資料庫把這段當成一段字元串處理 而不進行操作編譯

F. 求用java編寫帶界面的SQL注入檢測程序

程序沒有，不過以前做過這方面的一些研究，給你總結了一下。一般來說有這些種，樓主可以根據這些來寫測試語句。

1.沒有正確過濾轉義字元

在用戶的輸入沒有為轉義字元過濾時，就會發生這種形式的注入式攻擊，它會被傳遞給一個SQL語句。這樣就會導致應用程序的終端用戶對資料庫上的語句實施操縱。比方說，下面的這行代碼就會演示這種漏洞：

statement := "SELECT * FROM users WHERE name = '" + userName + "'; "

這種代碼的設計目的是將一個特定的用戶從其用戶表中取出，但是，如果用戶名被一個惡意的用戶用一種特定的方式偽造，這個語句所執行的操作可能就不僅僅是代碼的作者所期望的那樣了。例如，將用戶名變數(即username)設置為：

a' or 't'='t，此時原始語句發生了變化：

SELECT * FROM users WHERE name = 'a' OR 't'='t';

如果這種代碼被用於一個認證過程，那麼這個例子就能夠強迫選擇一個合法的用戶名，因為賦值't'='t永遠是正確的。

在一些SQL伺服器上，如在SQLServer中，任何一個SQL命令都可以通過這種方法被注入，包括執行多個語句。下面語句中的username的值將會導致刪除「users」表，又可以從「data」表中選擇所有的數據(實際上就是透露了每一個用戶的信息)。

a'; DROP TABLE users; SELECT * FROM data WHERE name LIKE '%

這就將最終的SQL語句變成下面這個樣子：

SELECT * FROM users WHERE name = 'a'; DROP TABLE users; SELECT * FROM DATA WHERE name LIKE '%';

其它的SQL執行不會將執行同樣查詢中的多個命令作為一項安全措施。這會防止攻擊者注入完全獨立的查詢，不過卻不會阻止攻擊者修改查詢。

2.Incorrect type handling

如果一個用戶提供的欄位並非一個強類型，或者沒有實施類型強制，就會發生這種形式的攻擊。當在一個SQL語句中使用一個數字欄位時，如果程序員沒有檢查用戶輸入的合法性(是否為數字型)就會發生這種攻擊。例如：

statement := "SELECT * FROM data WHERE id = " + a_variable + "; "

從這個語句可以看出，作者希望a_variable是一個與「id」欄位有關的數字。不過，如果終端用戶選擇一個字元串，就繞過了對轉義字元的需要。例如，將a_variable設置為:1; DROP TABLE users，它會將「users」表從資料庫中刪除，SQL語句變成：SELECT * FROM DATA WHERE id = 1; DROP TABLE users;

3.資料庫伺服器中的漏洞

有時，資料庫伺服器軟體中也存在著漏洞，如MYSQL伺服器中mysql_real_escape_string()函數漏洞。這種漏洞允許一個攻擊者根據錯誤的統一字元編碼執行一次成功的SQL注入式攻擊。

4.盲目SQL注入式攻擊

當一個Web應用程序易於遭受攻擊而其結果對攻擊者卻不見時，就會發生所謂的盲目SQL注入式攻擊。有漏洞的網頁可能並不會顯示數據，而是根據注入到合法語句中的邏輯語句的結果顯示不同的內容。這種攻擊相當耗時，因為必須為每一個獲得的位元組而精心構造一個新的語句。但是一旦漏洞的位置和目標信息的位置被確立以後，一種稱為Absinthe的工具就可以使這種攻擊自動化。

5.條件響應

注意，有一種SQL注入迫使資料庫在一個普通的應用程序屏幕上計算一個邏輯語句的值：

SELECT booktitle FROM booklist WHERE bookId = 'OOk14cd' AND 1=1

這會導致一個標準的面面，而語句

SELECT booktitle FROM booklist WHERE bookId = 'OOk14cd' AND 1=2在頁面易於受到SQL注入式攻擊時，它有可能給出一個不同的結果。如此這般的一次注入將會證明盲目的SQL注入是可能的，它會使攻擊者根據另外一個表中的某欄位內容設計可以評判真偽的語句。

6.條件性差錯

如果WHERE語句為真，這種類型的盲目SQL注入會迫使資料庫評判一個引起錯誤的語句，從而導致一個SQL錯誤。例如：

SELECT 1/0 FROM users WHERE username='Ralph'。顯然，如果用戶Ralph存在的話，被零除將導致錯誤。

7.時間延誤

時間延誤是一種盲目的SQL注入，根據所注入的邏輯，它可以導致SQL引擎執行一個長隊列或者是一個時間延誤語句。攻擊者可以衡量頁面載入的時間，從而決定所注入的語句是否為真。

G. 用java編寫防止SQL注入！求java高手指點！問題解決後，一定提高懸賞！

SQL注入無非就是把對單引號和雙"-"進行轉換。

最好不要拼裝SQL語句，以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。

H. 如何防止SQL注入攻擊之java網站安全部署

• java防SQL注入,最簡單的辦法是杜絕SQL拼接,SQL注入攻擊能得逞是因為在原有語句中加入了新的邏輯，如果使用PreparedStatement來代替Statement來執行SQL語句，其後只是輸入參數，SQL注入攻擊手段將無效，這是因為PreparedStatement不允許在不同的插入時間改變查詢的邏輯結構,大部分的SQL注入已經擋住了,在WEB層我們可以過濾用戶的輸入來防止SQL注入比如用Filter來過濾全局的表單參數 。下面就舉三個例子來說明一下：

• 第一種：

  採用預編譯語句集，它內置了處理SQL注入的能力，只要使用它的setString方法傳值即可，如下所示：

  String sql= "select * from users where username=? and password=?;PreparedStatement preState = conn.prepareStatement(sql);preState.setString(1, userName);preState.setString(2, password);ResultSet rs = preState.executeQuery();...

• 第二種：

  採用正則表達式將包含有 單引號(')，分號(;) 和 注釋符號(--)的語句給替換掉來防止SQL注入，如下所示：

  public static String TransactSQLInjection(String str)

  {

  return str.replaceAll(".*([';]+|(--)+).*", " ");

  }

  userName=TransactSQLInjection(userName);

  password=TransactSQLInjection(password);

  String sql="select * from users where username='"+userName+"' and password='"+password+"' "

  Statement sta = conn.createStatement();

  ResultSet rs = sta.executeQuery(sql);

• 第三種：

  使用Hibernate框架的SQL注入防範 Hibernate是目前使用最多的ORM框架，在Java Web開發中，很多時候不直接使用JDBC，而使用Hibernate來提高開發效率。

  在Hibernate中，仍然不應該通過拼接HQL的方式，而應使用參數化的方式來防範SQL注入。有兩種方式，一種仍然是使用JDBC一樣的佔位符「?」，但更好的方式是使用Hibernate的命名參數，例如檢測用戶名和密碼是否正確，使用Hibernate可以寫成如下：

  String queryStr = 「from user where username=:username 」+」password=:password」;

  List result = session.createQuery(queryStr).setString("username", username).setString("password", password).list();

I. java防止sql注入有哪些方法

前台我們可以通過過濾用戶輸入，後台可以通過PreparedStatement來代替Statement來執行SQL語句。

J. java中preparedstatement為什麼可以防止sql注入

其實是預編譯功能，用preparedstatement就會把sql的結構給資料庫預編譯。

SQL注入 攻 擊 是利用是指利用 設計 上的漏洞，在目 標 服 務 器上運行 Sql語 句以及 進 行其他方式的 攻 擊 ，
動態 生成 Sql語 句 時 沒有 對 用 戶輸 入的數據 進 行 驗證 是 Sql注入 攻 擊 得逞的主要原因。
對 於 JDBC而言， SQL注入 攻 擊 只 對 Statement有效， 對 PreparedStatement 是無效的， 這 是因 為 PreparedStatement 不允 許 在不同的插入 時間 改 變查詢 的 邏輯結 構。
如 驗證 用 戶 是否存在的 SQL語 句 為 ：
select count(*) from usertable where name='用 戶 名 ' and pswd='密 碼 '
如果在 用 戶 名欄位 中 輸 入 ' or '1'='1' or '1'='1
或是在 密 碼 欄位 中 輸 入 1' or '1'='1
將 繞過驗證 ，但 這種 手段只 對 只 對 Statement有效， 對 PreparedStatement 無效。
PreparedStatement 相 對 Statement有以下 優 點：
1.防注入攻擊
2.多次運行速度快
3.防止資料庫緩沖區溢出
4.代 碼 的可讀性可維護性好

加油！