Gosling的夹子
我在天空写下你的名字,被风儿带走了;我在沙滩写下你的名字,被浪花带走了;于是我在大街小巷的每一个角落写下你的名字,我靠!!我被警察带走了!
posts - 5,comments - 4,trackbacks - 0

吐血询问Jsp中怎么防止Sql注入?

网上找了半天也没找到,只有asp的,只能发这了,往高人指点啊

原来以为只有asp可以注入,今天试了试jsp的居然也有啊,晕

这应该是个很普遍的问题,希望管理员别删

还有我的程序基本结束了,可能的话,希望有个比较简介的方法,

期待中啊!!!!!

NEEA0(尼奥)'s Blog
asp中完美的解决方案

posted on 2005-08-17 14:25 Gosling的夹子 阅读(2245) 评论(4)  编辑  收藏

FeedBack:
# 一家上海的专业翻译公司
2006-08-09 16:03 | allenxv
好!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
前不久找到一专业翻译公司,上海的大家可以到他们的网站上去看看!

[url=http://www.acmetranslation.com]上海翻译公司[/url]
[url=http://www.paper-translation.com]翻译公司[/url]
一家上海的专业翻译公司  回复  更多评论
  
# re: 吐血询问Jsp中怎么防止Sql注入?
2007-05-11 21:55 | dsfg
dfdsfsdf
我是玉
dfi
ewq
wq efie
dsfdi dsifajs
dsfasf
q j 我是入  回复  更多评论
  
# re: 吐血询问Jsp中怎么防止Sql注入?
2007-05-11 21:56 | dsfg
q我是夺  回复  更多评论
  
# re: 吐血询问Jsp中怎么防止Sql注入?
2007-12-31 11:02 | 拽拽
SQL 注入简介:
SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法

用户钻了SQL的空子,下面我们先来看下什么是SQL注入:

比如在一个登陆界面,要求用户输入用户名和密码:

用户名: ' or 1=1 --

密 码:

点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:

String sql="select * from users where username='"+userName+"' and password='"+password+"' "

那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

这是为什么呢?我们来看看这条语句,将用户输入的数据替换后得到这样一条语句:

select * from users where username='' or 1=1 --' and password=''

为了更明白些,可以将其复制到SQL分析器中,将会发现,这条语句会将数据库的数据全部读出来,为什么呢?

很简单,看到条件后面 username='' or 1=1 用户名等于 '' 或 1=1 那么这个条件一定会成功,然后后面加两个-,这意味着

什么?没错,注释,它将后面的语句注释,让他们不起作用,这样就可以顺利的把数据库中的数据读取出来了。

这还是比较温柔的,如果是执行
select * from users where username='' ;DROP Database (DB Name) --' and password=''

.......其他的您可以自己想象。。。

那么我们怎么来处理这种情况呢?下面我以java为列给大家两种简单的方法:

第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
String sql= "select * from users where username=? and password=?;
PreparedStatement preState = conn.prepareStatement(sql);
preState.setString(1, userName);
preState.setString(2, password);
ResultSet rs = preState.executeQuery();
...

第二种是采用正则表达式将包含有 单引号('),分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入
public static String TransactSQLInjection(String str)
{
return str.replaceAll(".*([';]+|(--)+).*", " ");
}

userName=TransactSQLInjection(userName);
password=TransactSQLInjection(password);

String sql="select * from users where username='"+userName+"' and password='"+password+"' "
Statement sta = conn.createStatement();
ResultSet rs = sta.executeQuery(sql);
...
这个东西很简单,也很常见,方法还有很多,如果您有好的方法希望贴出来,大家一起学习学习。
  回复  更多评论
  

只有注册用户登录后才能发表评论。


网站导航: