您的当前位置：首页正文

JAVA中过滤特殊字符预防SQL注入

2023-11-12 来源：好兔宠物网

cn.com.hbivt.util; public class StringUtils { //过滤通过页面表单提交的字符 private static String[][] FilterChars={{"<","<"},{">",">"},{" "," "},{""","""},{"&","&"}, {"/","/"},{"","\"},{"","<br>"}}; //过滤通过javascript脚本处理并提交的字符 private static String[][] FilterScriptChars={{"","‘+‘‘+‘"}, {""," "},{"","‘+‘\‘+‘"}, {"‘","‘+‘\‘‘+‘"}}; /** * 用特殊的字符连接字符串 * @param strings 要连接的字符串数组 * @param spilit_sign 连接字符 * @return 连接字符串 */ public static String stringConnect(String[] strings,String spilit_sign){ String str=""; for(int i=0;i<strings.length;i++){ str+=strings[i]+spilit_sign; } return str; } /** * 过滤字符串里的的特殊字符 * @param str 要过滤的字符串 * @return 过滤后的字符串 */ public static String stringFilter(String str){ String[] str_arr=stringSpilit(str,""); for(int i=0;i<str_arr.length;i++){ for(int j=0;j<FilterChars.length;j++){ if(FilterChars[j][0].equals(str_arr[i])) str_arr[i]=FilterChars[j][1]; } } return (stringConnect(str_arr,"")).trim(); } /** * 过滤脚本中的特殊字符（包括回车符()和换行符()） * @param str 要进行过滤的字符串 * @return 过滤后的字符串 * 2004-12-21 闫 */ public static String stringFilterScriptChar(String str){ String[] str_arr=stringSpilit(str,""); for(int i=0;i<str_arr.length;i++){ for (int j = 0; j < FilterScriptChars.length; j++) { if (FilterScriptChars[j][0].equals(str_arr[i])) str_arr[i] = FilterScriptChars[j][1]; } } return(stringConnect(str_arr,"")).trim(); } /** * 分割字符串 * @param str 要分割的字符串 * @param spilit_sign 字符串的分割标志 * @return 分割后得到的字符串数组 */ public static String[] stringSpilit(String str,String spilit_sign){ String[] spilit_string=str.split(spilit_sign); if(spilit_string[0].equals("")) { String[] new_string=new String[spilit_string.length-1]; for(int i=1;i<spilit_string.length;i++) new_string[i-1]=spilit_string[i]; return new_string; } else return spilit_string; } /** * 字符串字符集转换 * @param str 要转换的字符串 * @return 转换过的字符串 */ public static String stringTransCharset(String str){ String new_str=null; try{ new_str=new String(str.getBytes("iso-8859-1"),"GBK"); } catch(Exception e){ e.printStackTrace(); } return new_str; } /** * 测试字符串处理类 * @param args 控制台输入参数 */ public static void main(String[] args){ //测试字符串过滤 String t_str1="<h1>StringDispose字符串处理‘"</h1>"; System.out.println("过滤前："+t_str1); System.out.println("过滤后："+StringUtils.stringFilter(t_str1)); //测试合并字符串 String[] t_str_arr1={"PG_1","PG_2","PG_3"}; String t_str2=StringUtils.stringConnect(t_str_arr1,","); System.out.println(t_str2); //测试拆分字符串 String[] t_str_arr2=StringUtils.stringSpilit(t_str2,","); for(int i=0;i<t_str_arr2.length;i++){ System.out.println(t_str_arr2[i]); } } }

JAVA中过滤特殊字符预防SQL注入

标签：脚本 nbsp java gdi dispose gbk 换行符 ack 过滤特殊字符

小编还为您整理了以下内容，可能对您也有帮助：

防sql注入到底应过滤哪些字符

最彻底的方法是使用参数方式提交，而不要拼SQL串

java怎样过滤危险字符

就WEB应用来说，所谓危险的字符一般就是两种
　　一个是SQL注入，一个是HTML语法注入
　　SQL注入主流的框架都可以搞定，JDBC永远都使用preparedstatement就可以防止所有的sql注入，关键是用户输入都要通过占位符往里放，就自动的替换掉了特殊字符了。hibernate等orm框架都会搞定这个问题

　　HTML语法注入是指用户输入的html代码回显出来，这样如果不转义就可以破坏页面的结构或者注入脚本。所以现在的网站都不允许用户直接输入html代码了，现在都是一些UBB标签来完成一些效果。HTML主要最好的解决办法是在回显的时候进行转义，所有的MVC框架或者展示层框架都有HTML转义的支持，包括struts,spring,volicty等，注意观察他们用于显示的标签

java怎样过滤危险字符

java防止SQL注入的几个途径

java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑，如果使用PreparedStatement来代替Statement来执行SQL语句，其后只是输入参数，SQL注入攻击手段将无效，这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数

01 import java.io.IOException;

02 import java.util.Iterator;

03 import javax.servlet.Filter;

04 import javax.servlet.FilterChain;

05 import javax.servlet.FilterConfig;

06 import javax.servlet.ServletException;

07 import javax.servlet.ServletRequest;

08 import javax.servlet.ServletResponse;

09 import javax.servlet.http.HttpServletRequest;

10 import javax.servlet.http.HttpServletResponse;

11 /**

12 * 通过Filter过滤器来防SQL注入攻击

13 *

14 */

15 public class SQLFilter implements Filter {

|chr|mid|master|truncate|char|declare|;|or|-|+|,";

17 protected FilterConfig filterConfig = null;

18 /**

19 * Should a character encoding specified by the client be ignored?

20 */

21 protected boolean ignore = true;

22 public void init(FilterConfig config) throws ServletException {

23 this.filterConfig = config;

24 this.inj_str = filterConfig.getInitParameter("keywords");

25 }

26 public void doFilter(ServletRequest request, ServletResponse response,

27 FilterChain chain) throws IOException, ServletException {

28 HttpServletRequest req = (HttpServletRequest)request;

29 HttpServletResponse res = (HttpServletResponse)response;

30 Iterator values = req.getParameterMap().values().iterator();//获取所有的表单参数

31 while(values.hasNext()){

32 String[] value = (String[])values.next();

33 for(int i = 0;i < value.length;i++){

34 if(sql_inj(value[i])){

35 //TODO这里发现sql注入代码的业务逻辑代码

36 return;

37 }

38 }

39 }

40 chain.doFilter(request, response);

41 }

42 public boolean sql_inj(String str)

43 {

44 String[] inj_stra=inj_str.split("\|");

45 for (int i=0 ; i < inj_stra.length ; i++ )

46 {

47 if (str.indexOf(" "+inj_stra[i]+" ")>=0)

48 {

49 return true;

50 }

51 }

52 return false;

53 }

54 }

也可以单独在需要防范SQL注入的JavaBean的字段上过滤：

1 /**

2 * 防止sql注入

3 *

4 * @param sql

5 * @return

6 */

7 public static String TransactSQLInjection(String sql) {

8 return sql.replaceAll(".*([';]+|(--)+).*", " ");

9 }

java防止SQL注入的几个途径

01 import java.io.IOException;

02 import java.util.Iterator;

03 import javax.servlet.Filter;

04 import javax.servlet.FilterChain;

05 import javax.servlet.FilterConfig;

06 import javax.servlet.ServletException;

07 import javax.servlet.ServletRequest;

08 import javax.servlet.ServletResponse;

09 import javax.servlet.http.HttpServletRequest;

10 import javax.servlet.http.HttpServletResponse;

11 /**

12 * 通过Filter过滤器来防SQL注入攻击

13 *

14 */

15 public class SQLFilter implements Filter {

|chr|mid|master|truncate|char|declare|;|or|-|+|,";

17 protected FilterConfig filterConfig = null;

18 /**

19 * Should a character encoding specified by the client be ignored?

20 */

21 protected boolean ignore = true;

22 public void init(FilterConfig config) throws ServletException {

23 this.filterConfig = config;

24 this.inj_str = filterConfig.getInitParameter("keywords");

25 }

26 public void doFilter(ServletRequest request, ServletResponse response,

27 FilterChain chain) throws IOException, ServletException {

28 HttpServletRequest req = (HttpServletRequest)request;

29 HttpServletResponse res = (HttpServletResponse)response;

30 Iterator values = req.getParameterMap().values().iterator();//获取所有的表单参数

31 while(values.hasNext()){

32 String[] value = (String[])values.next();

33 for(int i = 0;i < value.length;i++){

34 if(sql_inj(value[i])){

35 //TODO这里发现sql注入代码的业务逻辑代码

36 return;

37 }

38 }

39 }

40 chain.doFilter(request, response);

41 }

42 public boolean sql_inj(String str)

43 {

44 String[] inj_stra=inj_str.split("\|");

45 for (int i=0 ; i < inj_stra.length ; i++ )

46 {

47 if (str.indexOf(" "+inj_stra[i]+" ")>=0)

48 {

49 return true;

50 }

51 }

52 return false;

53 }

54 }

也可以单独在需要防范SQL注入的JavaBean的字段上过滤：

1 /**

2 * 防止sql注入

3 *

4 * @param sql

5 * @return

6 */

7 public static String TransactSQLInjection(String sql) {

8 return sql.replaceAll(".*([';]+|(--)+).*", " ");

9 }

如何对sql注入进行防护

对sql注入进行防护的方法有：分级管理、参数传值、基础过滤与二次过滤、使用安全参数、漏洞扫描。

1、分级管理：对用户进行分级管理，严格控制用户的权限，对于普通用户，禁止给予数据库建立、删除、修改等相关权限，只有系统管理员才具有增、删、改、查的权限。

2、参数传值：程序员在书写SQL语言时，禁止将变量直接写入到SQL语句，必须通过设置相应的参数来传递相关的变量。从而抑制SQL注入。数据输入不能直接嵌入到查询语句中。同时要过滤输入的内容，过滤掉不安全的输入数据。或者采用参数传值的方式传递输入变量，这样可以最大程度防范SQL注入攻击。

3、基础过滤与二次过滤：SQL注入攻击前，入侵者通过修改参数提交and等特殊字符，判断是否存在漏洞，然后通过select、update等各种字符编写SQL注入语句。因此防范SQL注入要对用户输入进行检查，确保数据输入的安全性，在具体检查输入或提交的变量时，对于单引号、双引号、冒号等字符进行转换或者过滤，从而有效防止SQL注入。

4、使用安全参数：SQL数据库为了有效抑制SQL注入攻击的影响。在进行SQLServer数据库设计时设置了专门的SQL安全参数。在程序编写时应尽量使用安全参数来杜绝注入式攻击，从而确保系统的安全性。

5、漏洞扫描：为了更有效地防范SQL注入攻击，作为系统管理除了设置有效的防范措施，更应该及时发现系统存在SQL攻击安全漏洞。系统管理员可以采购一些SQL漏洞扫描工具，通过专业的扫描工具，可以及时的扫描到系统存在的相应漏洞。

java 编程中连接数据库如何防止单引号注入?

防止SQL注入的方法最简单的就是例：用户登录需要用户名和密码先用户输入的用户名从数据库中把与其对应的密码查出来在把这密码和用户输入的密码对比就OK了自己试试看吧通得过的

java 编程中连接数据库如何防止单引号注入?

如果所有关键字都过滤就可以防止SQL注入了么

如果所有关键字都过滤，确实可以。既然没有关键字，那么传入的参数只是个字符串，没有其他的效果了。
但是，这是不可能的，有些时候你不得不用到一些关键字，比如密码[这里面肯定会含有特殊字符的]
建议：采用参数化的赋值方式
我们实际做的是尽可能避免参数注入，绝对安全的程序是不存在的，只有尽可能的安全。

如果所有关键字都过滤就可以防止SQL注入了么

JAVA特殊字符过滤方法

public static String StringFilter(String str) throws PatternSyntaxException {

// 只允许字母和数字

// String regEx = "[^a-zA-Z0-9]";

// 清除掉所有特殊字符

String regEx="[`~!@#$%^&*()+=|{}':;',\\[\\].<>/?~！@#￥%……&*（）——+|{}【】‘；：”“’。，、？]";

Pattern p = Pattern.compile(regEx);

Matcher m = p.matcher(str);

return m.replaceAll("").trim();

}

如何防止SQL注入

(1)对于动态构造SQL查询的场合，可以使用下面的技术：

第一：替换单引号，即把所有单独出现的单引号改成两个单引号，防止攻击者修改SQL命令的含义。再来看前面的例子，“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”显然会得到与“SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'”不同的结果。

第二：删除用户输入内容中的所有连字符，防止攻击者构造出类如“SELECT * from Users WHERE login = 'mas' -- AND password =''”之类的查询，因为这类查询的后半部分已经被注释掉，不再有效，攻击者只要知道一个合法的用户登录名称，根本不需要知道用户的密码就可以顺利获得访问权限。

第三：对于用来执行查询的数据库帐户，其权限。用不同的用户帐户执行查询、插入、更新、删除操作。由于隔离了不同帐户可执行的操作，因而也就防止了原本用于执行SELECT命令的地方却被用于执行INSERT、UPDATE或DELETE命令。

⑵ 用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外，它还使得数据库权限可以到只允许特定的存储过程执行，所有的用户输入必须遵从被调用的存储过程的安全上下文，这样就很难再发生注入式攻击了。

⑶ 表单或查询字符串输入的长度。如果用户的登录名字最多只有10个字符，那么不要认可表单中输入的10个以上的字符，这将大大增加攻击者在SQL命令中插入有害代码的难度。

⑷ 检查用户输入的合法性，确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行——之所以要执行服务器端验证，是为了弥补客户端验证机制脆弱的安全性。

在客户端，攻击者完全有可能获得网页的源代码，修改验证合法性的脚本（或者直接删除脚本），然后将非法内容通过修改后的表单提交给服务器。因此，要保证验证操作确实已经执行，唯一的办法就是在服务器端也执行验证。你可以使用许多内建的验证对象，例如RegularExpressionValidator，它们能够自动生成验证用的客户端脚本，当然你也可以插入服务器端的方法调用。如果找不到现成的验证对象，你可以通过CustomValidator自己创建一个。

⑸ 将用户登录名称、密码等数据加密保存。加密用户输入的数据，然后再将它与数据库中保存的数据比较，这相当于对用户输入的数据进行了“消毒”处理，用户输入的数据不再对数据库有任何特殊的意义，从而也就防止了攻击者注入SQL命令。System.Web.Security.FormsAuthentication类有一个HashPasswordForStoringInConfigFile，非常适合于对输入数据进行消毒处理。

⑹ 检查提取数据的查询所返回的记录数量。如果程序只要求返回一个记录，但实际返回的记录却超过一行，那就当作出错处理。

---------------------------------------------------------------------------------------------------------------------------

关键是明白原理，其实防范很简单的，

1.过滤SQL需要的参数中的敏感字符（注意加入忽略大小写）

2.禁用数据库服务器的xp_cmdshell存储过程，删除相应用到的dll

3.屏蔽服务器异常信息

首页

行业资讯

宠物日常

宠物养护

宠物健康

宠物故事

JAVA中过滤特殊字符预防SQL注入