如何在java中检测sql注入

ru9i0ody  于 2021-07-09  发布在  Java
关注(0)|答案(1)|浏览(479)

我有一个用java编程的分类器来检测和阻止sql注入,这个分类器通过数据集的“两个双引号之间”的语句来判断请求是sql注入还是否,我需要把这个应用程序转换成基于web的,因此,当用户输入example 3或2=2时,应用程序必须从url而不是像我说的那样从我的应用程序中读取这个句子(句子“在两个双引号之间”)
例如:

String examplesql = "1' or 1=1";
String outputsql = nb.predict(examplesql);
System.out.format("The Traffic \"%s\" was classified as \"%s\".%n", examplesql, outputsql);
Javasql-injection

1条答案

按热度按时间
eqzww0vc

eqzww0vc1#

使用 PreparedStatement 而不是手动检查。这意味着驱动程序将自动转义您给它的字符串,sql注入尝试将失败,它们提供的任何数据都将传递到数据库字段。看到了吗https://docs.oracle.com/javase/tutorial/jdbc/basics/prepared.html 以及https://docs.oracle.com/javase/8/docs/api/java/sql/preparedstatement.html 有关如何使用它的详细信息。
要获取已发送的参数,可以使用

// create connection
String passed = request.getParameter("data");
PreparedStatement statement = connection.prepareStatement("INSERT INTO table (field1) VALUES (?)");
statement.setString(1, passed);
statement.executeQuery();
赞(0)分享  回复(0)举报  2021-07-09
我来回答

相关问题

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新问答

    更多
    • 蜀ICP备2022004421号-2 NULL123 https://www.null123.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com