本文摘自PHP中文网,作者V,侵删。
SQL注入防御的方法有:1、PreparedStatement;2、使用正则表达式过滤传入的参数;3、字符串过滤。其中,采用预编译语句集是简单又有效的方法,因为它内置了处理SQL注入的能力。
SQL注入防御的方法
下面针对JSP,说一下应对方法:
(推荐学习:mysql教程)
1、(简单又有效的方法)PreparedStatement
采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。
使用好处:
(1)代码的可读性和可维护性;
(2)PreparedStatement尽最大可能提高性能;
(3)最重要的一点是极大地提高了安全性。
原理:
sql注入只对sql语句的准备(编译)过程有破坏作用,而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,而不再对sql语句进行解析、准备,因此也就避免了sql注入问题。
2、使用正则表达式过滤传入的参数
要引入的包:
1 |
|
正则表达式:
1 |
|
判断是否匹配:
1 |
|
下面是具体的正则表达式:
检测SQL meta-characters的正则表达式 :
1 |
|
修正检测SQL meta-characters的正则表达式 :
1 |
|
典型的SQL 注入攻击的正则表达式 :
1 |
|
检测SQL注入,UNION查询关键字的正则表达式 :
1 |
|
检测MS SQL Server SQL注入攻击的正则表达式:
1 |
|
等等…..
相关阅读 >>
更多相关阅读请进入《SQL注入》频道 >>