本文主要是介绍SQL注入和预防措施,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
在编写代码的时候,很多情况下没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。如:
某个网站的登录验证的SQL查询代码为:
strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"
恶意填入
userName = "1' OR '1'='1";
与
passWord = "1' OR '1'='1";
时,将导致原本的SQL字符串被填为
strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"
也就是实际上运行的SQL命令会变成下面这样的
strSQL = "SELECT * FROM users;"
因此达到无账号密码,亦可登录网站。
防护措施:
(1)使用preparedStatement,preparedStatement采用了预编译的方式,传过来的参数只会作为普通的字符串来处理,不再对SQL语句进行解析,解析的过程已经在
String sql = "select id, username, password from users where id=?";
PreparedStatement ps = this.conn.prepareStatement(sql);
的过程中完成,现在要做的只是把输入作为一个简单的串来处理
(2)使用正则表达式,这种方式需要引入java.util.regex.* ,使用正则表达式来判断输入是否符合规范
(3)在jsp页面编写js函数,判断输入是否含有不安全字符
这篇关于SQL注入和预防措施的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!