什么方法能夠有效應對SQL注入攻擊

這期內容當中小編將會給大家帶來有關什么方法能夠有效應對SQL注入攻擊，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

能夠有效應對SQL注入攻擊的方法是：PreparedStatement（預編譯語句集）。預編譯語句集內置了處理SQL注入的能力，我們只需要使用它的setxxx方法傳值即可。

1、（簡單又有效的方法）PreparedStatement

采用預編譯語句集，它內置了處理SQL注入的能力，只要使用它的setXXX方法傳值即可。

使用好處：

（1）代碼的可讀性和可維護性.

（2）PreparedStatement盡最大可能提高性能.

（3）最重要的一點是極大地提高了安全性.

原理：

sql注入只對sql語句的準備(編譯)過程有破壞作用，而PreparedStatement已經準備好了，執行階段只是把輸入串作為數據處理，而不再對sql語句進行解析、準備，因此也就避免了sql注入問題。

2、使用正則表達式過濾傳入的參數

要引入的包：

import java.util.regex.*;

正則表達式：

private String CHECKSQL = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;

判斷是否匹配：

Pattern.matches(CHECKSQL,targerStr);

下面是具體的正則表達式：

檢測SQL meta-characters的正則表達式 ： /(\%27)|(\')|(\-\-)|(\%23)|(#)/ix

修正檢測SQL meta-characters的正則表達式 ： /((\%3D)|(=))[^\n]*((\%27)|(\')|(\-\-)|(\%3B)|(:))/i

典型的SQL 注入攻擊的正則表達式 ： /\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

檢測SQL注入，UNION查詢關鍵字的正則表達式 ： /((\%27)|(\'))union/ix(\%27)|(\')

檢測MS SQL Server SQL注入攻擊的正則表達式： /exec(\s|\+)+(s|x)p\w+/ix

等等…..

3、字符串過濾

比較通用的一個方法：

（||之間的參數可以根據自己程序的需要添加）

public static boolean sql_inj(String str){
String inj_str = "'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
String inj_stra[] = split(inj_str,"|");
for (int i=0 ; i < inj_stra.length ; i++ ){
if (str.indexOf(inj_stra[i])>=0){
return true;
}
}
return false;
}

4、jsp中調用該函數檢查是否包函非法字符

防止SQL從URL注入：

sql_inj.java代碼：

package sql_inj;
import java.net.*;
import java.io.*;
import java.sql.*;
import java.text.*;
import java.lang.String;
public class sql_inj{
public static boolean sql_inj(String str){
String inj_str = "'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
//這里的東西還可以自己添加
String[] inj_stra=inj_str.split("\\|");
for (int i=0 ; i < inj_stra.length ; i++ ){
if (str.indexOf(inj_stra[i])>=0){
return true;
}
}
return false;
}
}

上述就是小編為大家分享的什么方法能夠有效應對SQL注入攻擊了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業資訊頻道。