日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

Java防SQL注入，最簡單的辦法是杜絕SQL拼接，SQL注入攻擊能得逞是因為在原有SQL語句中加入了新的邏輯，如果使用PreparedStatement來代替Statement來執(zhí)行SQL語句，其后只是輸入?yún)?shù)，SQL注入攻擊手段將無效，這是因為PreparedStatement不允許在不同的插入時間改變查詢的邏輯結構，大部分的SQL注入已經(jīng)擋住了，在WEB層我們可以過濾用戶的輸入來防止SQL注入比如用Filter來過濾全局的表單參數(shù)。

公司主營業(yè)務：成都網(wǎng)站建設、成都網(wǎng)站設計、移動網(wǎng)站開發(fā)等業(yè)務。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴謹、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領域給我們帶來的挑戰(zhàn)，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)推出洛龍免費做網(wǎng)站回饋大家。

 
 
 
  
  
  
import java.io.IOException;  
  
  
  
import java.util.Iterator;  
  
  
  
import javax.servlet.Filter;  
  
  
  
import javax.servlet.FilterChain;  
  
  
  
import javax.servlet.FilterConfig;  
  
  
  
import javax.servlet.ServletException;  
  
  
  
import javax.servlet.ServletRequest;  
  
  
  
import javax.servlet.ServletResponse;  
  
  
  
import javax.servlet.http.HttpServletRequest;  
  
  
  
import javax.servlet.http.HttpServletResponse;  
  
  
  
/**  
  
  
  
* 通過Filter過濾器來防SQL注入攻擊  
  
  
  
*  
  
  
  
*/ 
  
  
  
public class SQLFilter implements Filter {  
  
  
  
private String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,";  
  
  
  
protected FilterConfig filterConfig = null;  
  
  
  
/**  
  
  
  
* Should a character encoding specified by the client be ignored?  
  
  
  
*/ 
  
  
  
protected boolean ignore = true;  
  
  
  
public void init(FilterConfig config) throws ServletException {  
  
  
  
this.filterConfig = config;  
  
  
  
this.inj_str = filterConfig.getInitParameter("keywords");  
  
  
  
}  
  
  
  
public void doFilter(ServletRequest request, ServletResponse response,  
  
  
  
FilterChain chain) throws IOException, ServletException {  
  
  
  
HttpServletRequest req = (HttpServletRequest)request;  
  
  
  
HttpServletResponse res = (HttpServletResponse)response;  
  
  
  
Iterator values = req.getParameterMap().values().iterator();//獲取所有的表單參數(shù)  
  
  
  
while(values.hasNext()){  
  
  
  
String[] value = (String[])values.next();  
  
  
  
for(int i = 0;i < value.length;i++){  
  
  
  
if(sql_inj(value[i])){  
  
  
  
//TODO這里發(fā)現(xiàn)sql注入代碼的業(yè)務邏輯代碼  
  
  
  
return;  
  
  
  
}  
  
  
  
}  
  
  
  
}  
  
  
  
chain.doFilter(request, response);  
  
  
  
}  
  
  
  
public boolean sql_inj(String str)  
  
  
  
{  
  
  
  
String[] inj_stra=inj_str.split("\\|");  
  
  
  
for (int i=0 ; i < inj_stra.length ; i++ )  
  
  
  
{  
  
  
  
if (str.indexOf(" "+inj_stra[i]+" ")>=0)  
  
  
  
{  
  
  
  
return true;  
  
  
  
}  
  
  
  
}  
  
  
  
return false;  
  
  
  
}  
  
  
  
} 
 
 

也可以單獨在需要防范SQL注入的JavaBean的字段上過濾：

 
 
 
  
  
  
/**  
  
  
  
* 防止sql注入  
  
  
  
*  
  
  
  
* @param sql  
  
  
  
* @return  
  
  
  
*/ 
  
  
  
public static String TransactSQLInjection(String sql) {  
  
  
  
return sql.replaceAll(".*([';]+|(--)+).*", " ");  
  
  
  
} 
 
 

分享標題：Java防止SQL注入的幾個途徑
路徑分享：http://www.dlmjj.cn/article/dhsgjop.html