Java-防止SQL注入的转义字符串
我试图在Java中放置一些反SQL注入,并发现使用“
replaceAll”字符串函数非常困难。最后,我需要,将转换现有的功能\来\\,任何"到\",任何'到\',任何\n以\\n使得当字符串由MySQL的SQL注入评估将被阻止。
我已经整理了一些正在使用的代码,并且\\\\\\\\\\\该函数中的所有内容都使我大失所望。如果有人碰巧有这个例子,我将不胜感激。
问题答案:
PreparedStatement是可行的方法,因为它们使SQL注入成为不可能。这是一个简单的示例,将用户的输入作为参数:
public insertUser(String name, String email) {
Connection conn = null;
PreparedStatement stmt = null;
try {
conn = setupTheDatabaseConnectionSomehow();
stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
stmt.setString(1, name);
stmt.setString(2, email);
stmt.executeUpdate();
}
finally {
try {
if (stmt != null) { stmt.close(); }
}
catch (Exception e) {
// log this error
}
try {
if (conn != null) { conn.close(); }
}
catch (Exception e) {
// log this error
}
}
}
无论姓名和电子邮件中包含什么字符,这些字符都将直接放置在数据库中。它们不会以任何方式影响INSERT语句。
对于不同的数据类型,有不同的设置方法-使用哪种方法取决于数据库字段是什么。例如,如果数据库中有一个INTEGER列,则应使用一个setInt方法。
PreparedStatement文档列出了可用于设置和获取数据的所有不同方法。
-
问题内容: 我试图在Java中放置一些反SQL注入,并发现使用“ replaceAll”字符串函数非常困难。最后,我需要,将转换现有的功能使得当字符串由MySQL的SQL注入评估将被阻止。 我已经整理了一些正在使用的代码,并且该函数中的所有内容都使我大失所望。如果有人碰巧有这个例子,我将不胜感激。 问题答案: PreparedStatement是可行的方法,因为它们使SQL注入成为不可能。这是一个
-
问题内容: 我正在使用MySQL API的功能 根据文档,它转义以下字符: 现在,我查看了OWASP.org的ESAPI安全库,并在Python端口中包含以下代码(http://code.google.com/p/owasp- esapi-python/source/browse/esapi/codecs/mysql。 py ): 现在,我想知道是否真的需要转义所有这些字符。我知道为什么%和_在那
-
问题内容: 我在一家公司工作,该公司负责数据库模块的人员严格禁止使用准备好的语句。我担心他的实施不安全。 这是我们当前用于进行SQL查询的代码(带有JDBC / MySQL 5.5的Java 8应用程序): 我无法进行任何注射,但是他的解决方案对我来说似乎非常棘手。任何人都可以指出如何避免这种转义吗?如果我无法解决任何问题,他将不会替换他的代码,并且我们在应用程序(银行业务)中拥有成千上万客户的非
-
我一直在准备技术面试。所以有一件事我不确定。如果我写一个例子 这是否已经防止了字符串注入?或者我必须这样写: 提前道谢!
-
所谓 SQL 注入,就是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。具体来说,它是利用现有应用程序,将(恶意)的 SQL 命令注入到后台数据库引擎执行的能力,它可以通过在 Web 表单中输入(恶意)SQL 语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行 SQL 语句。比如先前的很多影视网站泄露 VI
-
是否可以像PHP准备语句那样防止SQL注入Node.js(最好是使用模块)。 如果是,怎么做?如果不是,有哪些例子可以绕过我提供的代码(见下文)。 某些上下文: 我正在使用node-mysql模块制作一个具有由node.js+MySql组成的后端堆栈的web应用程序。从可用性的角度来看,这个模块很棒,但是它还没有实现类似于PHP准备好的语句的东西(尽管我知道它在todo上)。 根据我的理解,PHP