web开发如何避免表单sql注入


web开发避免表单sql注入的方法:

1.采用PreparedStatement进行预编译,sql语句在执行的过程中效率比Statement要高,例如:

String sql = "select* from users where username=? and password=?";
Connection conn = null;
PreparedStatement state = null;
ResultSet result;
conn = JdbcUtil.getConnection();
System.out.println(sql);
try {
state = conn.prepareStatement(sql);
state.setString(1, userName);
state.setString(2, passWord);
result = state.executeQuery();

2.使用正则表达式过滤传入的参数,例如:

要引入的包:

import java.util.regex.*;

正则表达式:

private String CHECKsql = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;

判断是否匹配:

Pattern.matches(CHECKsql,targerStr);

3.字符串过滤,例如:

public static boolean sql_inj(String str)
{
String inj_str = "'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
String inj_stra[] = split(inj_str,"|");
for (int i=0 ; i < inj_stra.length ; i++ )
{
if (str.indexOf(inj_stra[i])>=0)
{
return true;
}
}
return false;
}

4.使用javascript在客户端进行不安全字符屏蔽,例如JSP页面判断代码:

functioncheck(a){
return1;
fibdn=newArray(”‘”,”\\”,”/”);
i=fibdn.length;
j=a.length;
for(ii=0;ii<i;ii++)
{for(jj=0;jj<j;jj++)
{temp1=a.charAt(jj);
temp2=fibdn[ii];
if(tem’;p1==temp2)
{return0;}
}
}
return1;
}


上一篇:ubuntu虚拟机如何扩容

下一篇:什么是异步redis

Web sql注入
声卡驱动正常但是没有声音如何办?声卡驱动正常没声音的解决方法 英伟达显卡驱动如何退回到原来版本?英伟达显卡驱动退回到原来版 重装系统,电脑只有一个C盘如何创建分区 Defender提示错误应用程序MsMpEng.exe无法启动 电脑无法启动或仍在加载如何办?电脑无法启动或仍在加载的解决方 打印机驱动如何卸载删除?卸载打印机驱动干净的教程 电脑没网如何安装网卡驱动?教你没网如何安装网卡驱动的方法 系统32位和62位如何选择:详解它们之间的差异 电脑文件删不掉如何办?四种方法解决 任务管理器快捷键有哪些?任务管理器快捷键大全
Copyright © 2002-2019 测速网 www.inhv.cn 皖ICP备2023010105号
测速城市 测速地区 测速街道 网速测试城市 网速测试地区 网速测试街道
温馨提示:部分文章图片数据来源与网络,仅供参考!版权归原作者所有,如有侵权请联系删除!

热门搜索 城市网站建设 地区网站制作 街道网页设计 大写数字 热点城市 热点地区 热点街道 热点时间 房贷计算器