社区
Java EE
帖子详情
如何防止SQL注入
伍文
2011-12-09 04:45:17
网站怎么防止这样的事发生,越详细越好,谢谢各问的参与,还有就是如果代码都是能sql加参数的形式,还存在这样的问题吗?
...全文
567
36
打赏
收藏
如何防止SQL注入
网站怎么防止这样的事发生,越详细越好,谢谢各问的参与,还有就是如果代码都是能sql加参数的形式,还存在这样的问题吗?
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
36 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
loveofmylife
2011-12-14
打赏
举报
回复
绑定变量
伍文
2011-12-14
打赏
举报
回复
我用jsky测试了一下,感觉还行。
zhangjohn55
2011-12-14
打赏
举报
回复
恩,用框架,用jpa的pojo。。就没这种事情了
litiebiao2012
2011-12-14
打赏
举报
回复
PreparedStatement
noCTO
2011-12-14
打赏
举报
回复
我也得看看一下
liwen19840617
2011-12-14
打赏
举报
回复
不要用字符串的拼接,用占位符或者是相应的函数
xaq_by
2011-12-14
打赏
举报
回复
Sql注入漏洞攻击:如1'or'1'='1
使用参数化查询避免
cmd.CommandText="select count(*) from 表名 where username=@a and password=@b";
cmd.parameters.Add(new SqlParameter("a",".."));
cmd.parameters.Add(new SqlParameter("b",".."));
mimimhmh
2011-12-14
打赏
举报
回复
用占位符,或者框架……
dxqrr
2011-12-14
打赏
举报
回复
现在都很少有SQL注入了,你用preparedStatement,就可以
还有就是不要同时查询用户名和密码
而是,先查询用户名,然后获得的密码在和输入的密码比较
laughing__
2011-12-13
打赏
举报
回复
prepareStatement就可以做到了,不要拼接sql语句就好了
Ade子夜
2011-12-13
打赏
举报
回复
[Quote=引用 16 楼 sxzlc 的回复:]
用prepareStatement就ok了
[/Quote]
ding
伍文
2011-12-13
打赏
举报
回复
谢谢各位,有好的文章也帮忙推荐一下。
不止鱼
2011-12-13
打赏
举报
回复
PrepareStatement或者replace替换字符串
readme1988
2011-12-13
打赏
举报
回复
想要拼接sql语句,用MessageFormat.format("select * from user where name={0}",userName)亦可
wnf2009
2011-12-13
打赏
举报
回复
过滤关键字。。。。
不过想要学习如何防范,首先要学习如何攻击
上次看到一个大牛为了避免引号过滤,把sql语句全部转成16进制提交
伍文
2011-12-13
打赏
举报
回复
[Quote=引用 20 楼 wlf2131 的回复:]
你都知道SQL注入的原理是什么,会有什么样的后果 难道还不能防止它? 问题是你不知道原理别人写出来也不知道是为了防止SQL注入
[/Quote]
谢谢wlf2131的回答,我从网上查了sql注入的解释,目前明白的程度就是:用客户提供的数据拼接sql语句时,由于用户放也了or and 之类的关键词使sql语句与希望的不一样了。在这个过程中可能导致一些信息泄露。
伍文
2011-12-13
打赏
举报
回复
有测试web网站的注入的工具也可能推荐一下,希望积极发言啊。
疯狂的驴子
2011-12-13
打赏
举报
回复
受教了。不错的贴子,望更多大牛给出详细答案!
wlf2131
2011-12-13
打赏
举报
回复
你都知道SQL注入的原理是什么,会有什么样的后果 难道还不能防止它? 问题是你不知道原理别人写出来也不知道是为了防止SQL注入
sun0322
2011-12-10
打赏
举报
回复
用prepareStatement就ok了
加载更多回复(15)
SQL注入
漏洞演示源代码
SQL注入
漏洞演示源代码 更多免费资源请查看:http://download.csdn.net/user/php_fly
小榕
sql注入
工具
WED.EXE 小榕(榕哥)出的
sql注入
工具 使用该工具可以在短短2秒钟就猜出管理员的帐号和密码! 里面附带的wis.exe 也是小榕写的一个扫描后台管理员登陆路径的工具!
小榕
SQL注入
-wis,wed工具包
大名鼎鼎的
SQL注入
工具包,有兴趣的朋友可以下载对网站的sql漏洞进行扫描测试,反对对网站进行攻击。
【Mysql优化安全】
防止
sql注入
【Mysql安全】
防止
sql注入
(1)什么是
sql注入
(2)寻找
sql注入
的方法(3)mybatis是如何做到
防止
sql注入
的(3.1)sql对比(3.2)简单分析(3.3)底层实现原理(3.4)总结#{}和${}的区别(3.5)总结(3.6)如果手工处理“${xxx}”(3)常见的
sql注入
问题:数据库查询参数的类型转换处理(4)防范
sql注入
的思路(5)放置
sql注入
的方法 (1)什么是
sql注入
(1)概念 “
SQL注入
”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让
【MyBatis】
防止
sql注入
前言 关于
sql注入
的解释这里不再赘述。 在MyBatis中
防止
的
sql注入
主要分为两种: 第一种就是MyBatis提供了两种支持动态 sql 的语法 #{}和 ${},其中${} 是简单的字符串替换,而 #{}在预处理时,会把参数部分用一个占位符 ? 代替,可以有效的
防止
sql的注入,面试的时候经常会问到,这里也不再详细赘述; 第二种是排序
防止
sql注入
,实现方案如下
SQL注入
过滤器 以下是
sql注入
过滤器,当判断出是非法字符时则抛出到自定义的异常类B...
Java EE
67,513
社区成员
225,879
社区内容
发帖
与我相关
我的任务
Java EE
J2EE只是Java企业应用。我们需要一个跨J2SE/WEB/EJB的微容器,保护我们的业务核心组件(中间件),以延续它的生命力,而不是依赖J2SE/J2EE版本。
复制链接
扫一扫
分享
社区描述
J2EE只是Java企业应用。我们需要一个跨J2SE/WEB/EJB的微容器,保护我们的业务核心组件(中间件),以延续它的生命力,而不是依赖J2SE/J2EE版本。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章