• 最近热搜工具:

    当前位置:首页 > 网络知识

    ADADADADAD

    web项目如何防sql注入[ 网络知识 ]

    网络知识 时间:2024-12-03 10:19:36

    作者:文/会员上传

    php怎么实现https请求

    简介:

    web项目防sql注入的方法:可以通过一个Filter来防止SQL注入,例如:packagecom.tarena.dingdang.filter;importjava.io.IOException;importjava.util.Enumeration;importjavax.ser

    以下为本文的正文内容,内容仅供参考!本站为公益性网站,复制本文以及下载DOC文档全部免费。

    web项目防sql注入的方法:

    可以通过一个Filter来防止SQL注入,例如:

    packagecom.tarena.dingdang.filter;
    importjava.io.IOException;
    importjava.util.Enumeration;
    importjavax.servlet.Filter;
    importjavax.servlet.FilterChain;
    importjavax.servlet.FilterConfig;
    importjavax.servlet.ServletException;
    importjavax.servlet.ServletRequest;
    importjavax.servlet.ServletResponse;
    importjavax.servlet.http.HttpServletRequest;
    publicclassAntiSqlInjectionfilterimplementsFilter{
    publicvoiddestroy(){
    //TODOAuto-generatedmethodstub
    }
    publicvoidinit(FilterConfigarg0)throwsServletException{
    //TODOAuto-generatedmethodstub
    }
    publicvoiddoFilter(ServletRequestargs0,ServletResponseargs1,
    FilterChainchain)throwsIOException,ServletException{
    HttpServletRequestreq=(HttpServletRequest)args0;
    HttpServletRequestres=(HttpServletRequest)args1;
    //获得所有请求参数名
    Enumerationparams=req.getParameterNames();
    Stringsql="";
    while(params.hasMoreElements()){
    //得到参数名
    Stringname=params.nextElement().toString();
    //System.out.println("name==========================="+name+"--");
    //得到参数对应值
    String[]value=req.getParameterValues(name);
    for(inti=0;i<value.length;i++){
    sql=sql+value[i];
    }
    }
    //System.out.println("============================SQL"+sql);
    //有sql关键字,跳转到error.html
    if(sqlValidate(sql)){
    thrownewIOException("您发送请求中的参数中含有非法字符");
    //Stringip=req.getRemoteAddr();
    }else{
    chain.doFilter(args0,args1);
    }
    }
    //效验
    protectedstaticbooleansqlValidate(Stringstr){
    str=str.toLowerCase();//统一转为小写
    StringbadStr="'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|"+
    "char|declare|sitename|netuser|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|"+
    "table|from|grant|use|group_concat|column_name|"+
    "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|"+
    "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字,可以手动添加
    String[]badStrs=badStr.split("\\|");
    for(inti=0;i<badStrs.length;i++){
    if(str.indexOf(badStrs[i])>=0){
    returntrue;
    }
    }
    returnfalse;
    }
    }

    在web.xml文件中进行配置,如:

    <!--防止SQL注入的过滤器-->
    <filter>
    <filter-name>antiSqlInjection</filter-name>
    <filter-class>com.tarena.dingdang.filter.AntiSqlInjectionfilter</filter-class>
    </filter>
    <filter-mapping>
    <filter-name>antiSqlInjection</filter-name>
    <url-pattern>/*</url-pattern>
    </filter-mapping>

    web项目如何防sql注入.docx

    将本文的Word文档下载到电脑

    推荐度:

    下载
    热门标签: sql注入web

    精品

    申请https需要什么条件

    热门推荐

    hadoop分布式数据库怎样管理

    2024-12-03

    ajax和数据库交互的方法是什么

    2024-12-03

    hadoop archive适合哪些应用场景

    2024-12-06

    hbase metadata能否备份恢复

    2024-12-25

    如何使用Kafka构建可扩展的日志收集系统

    2024-12-03

    大家都在看

    测速网 inhv.cn 皖ICP备2023010105号 E-mail:251442993@qq.com 网速测试 网速测试 五险一金计算器 大小写转换 房贷计算器 个税计算器 网站建设

    本站内容来源于网友提交及搜索引擎,如果我们的某些资料侵犯了您的合法权益或对您造成了任何程度的伤害,请及时联系我们,我们将在收到通知后第一时间处理该内容。