Sco*_*ner 142 java regex sql sql-injection escaping
我试图在java中放入一些反sql注入,并且发现很难使用"replaceAll"字符串函数.最后,我需要将任何现有的转换功能\来\\,任何"到\",任何'到\',任何\n以\\n使得当字符串由MySQL的SQL注入评估将被阻止.
我已经搞砸了一些我正在使用的代码,所有\\\\\\\\\\\功能都让我的眼睛变得疯狂.如果有人碰巧有这样的例子我会非常感激.
Kal*_*see 243
PreparedStatements是可行的方法,因为它们使SQL注入变得不可能.这是一个以用户输入为参数的简单示例:
public insertUser(String name, String email) {
Connection conn = null;
PreparedStatement stmt = null;
try {
conn = setupTheDatabaseConnectionSomehow();
stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
stmt.setString(1, name);
stmt.setString(2, email);
stmt.executeUpdate();
}
finally {
try {
if (stmt != null) { stmt.close(); }
}
catch (Exception e) {
// log this error
}
try {
if (conn != null) { conn.close(); }
}
catch (Exception e) {
// log this error
}
}
}
无论名称和电子邮件中包含哪些字符,这些字符都将直接放在数据库中.它们不会以任何方式影响INSERT语句.
对于不同的数据类型有不同的set方法 - 您使用哪种方法取决于您的数据库字段.例如,如果数据库中有INTEGER列,则应使用setInt方法. PreparedStatement文档列出了可用于设置和获取数据的所有不同方法.
Cyl*_*Cat 45
防止SQL注入的唯一方法是使用参数化SQL.只是不可能构建一个比以黑客为生的人更聪明的过滤器.
因此,请对所有输入,更新和where子句使用参数.动态SQL只是黑客的一扇门,它包括存储过程中的动态SQL.参数化,参数化,参数化.
Pas*_*ent 35
如果您确实无法使用防御选项1:准备语句(参数化查询)或防御选项2:存储过程,请不要构建自己的工具,请使用OWASP Enterprise Security API.来自Google Code上托管的OWASP ESAPI:
不要编写自己的安全控件!在为每个Web应用程序或Web服务开发安全控件时重新发明轮子会导致浪费时间和大量安全漏洞.OWASP企业安全API(ESAPI)工具包可帮助软件开发人员防范与安全相关的设计和实现缺陷.
有关更多详细信息,请参阅在Java和SQL注入防护备忘单中防止SQL注入.
特别注意防御选项3:转义引入OWASP ESAPI项目的所有用户提供的输入.
Ala*_*ore 19
(这是对原始问题下OP的评论的回答;我完全同意PreparedStatement是这项工作的工具,而不是正则表达式.)
当你说\n,你的意思是序列\+ n或实际的换行符?如果它是\+ n,则任务非常简单:
s = s.replaceAll("['\"\\\\]", "\\\\$0");
要匹配输入中的一个反斜杠,请将其中的四个放入正则表达式字符串中.要在输出中放入一个反斜杠,可以将其中的四个放入替换字符串中.这假设您正在以Java String文字的形式创建正则表达式和替换.如果您以任何其他方式创建它们(例如,通过从文件中读取它们),您不必执行所有双重转义.
如果输入中有换行符,并且想要用转义序列替换它,则可以使用以下命令对输入进行第二次传递:
s = s.replaceAll("\n", "\\\\n");
或许你想要两个反斜杠(我不太清楚):
s = s.replaceAll("\n", "\\\\\\\\n");
小智 12
PreparedStatements是进入大多数情况的方式,但不是所有情况.有时您会发现自己处于需要构建查询或其中一部分的情况并将其存储为字符串以供以后使用.查看OWASP网站上的SQL注入预防备忘单,了解更多详细信息和不同编程语言的API.
使用正则表达式删除可能导致SQL注入的文本听起来像SQL语句通过Statement而不是a 发送到数据库PreparedStatement.
一,以防止在首位的SQL注入的最简单的方法是使用PreparedStatement,它接受数据使用占位符,它不依赖于字符串连接创建一个SQL语句发送到数据库替换到SQL语句.
欲了解更多信息,使用预处理语句从Java教程将是一个良好的开端.
小智 9
准备好的语句是最好的解决方案,但如果你真的需要手动完成,你也可以使用StringEscapeUtilsApache Commons-Lang库中的类.它有一个escapeSql(String)方法,你可以使用:
import org.apache.commons.lang.StringEscapeUtils;
…
String escapedSQL = StringEscapeUtils.escapeSql(unescapedSQL);
您需要以下代码.乍一看,这可能看起来像我编写的任何旧代码.但是,我所做的是查看http://grepcode.com/file/repo1.maven.org/maven2/mysql/mysql-connector-java/5.1.31/com/mysql/jdbc/PreparedStatement的源代码. java.然后,我仔细查看了setString(int parameterIndex,String x)的代码,找到它转义的字符,并将其自定义为我自己的类,以便它可以用于您需要的目的.毕竟,如果这是Oracle逃脱的字符列表,那么知道这一点在安全方面确实令人感到安慰.也许Oracle需要一个推动,为下一个主要的Java版本添加类似于这个的方法.
public class SQLInjectionEscaper {
public static String escapeString(String x, boolean escapeDoubleQuotes) {
StringBuilder sBuilder = new StringBuilder(x.length() * 11/10);
int stringLength = x.length();
for (int i = 0; i < stringLength; ++i) {
char c = x.charAt(i);
switch (c) {
case 0: /* Must be escaped for 'mysql' */
sBuilder.append('\\');
sBuilder.append('0');
break;
case '\n': /* Must be escaped for logs */
sBuilder.append('\\');
sBuilder.append('n');
break;
case '\r':
sBuilder.append('\\');
sBuilder.append('r');
break;
case '\\':
sBuilder.append('\\');
sBuilder.append('\\');
break;
case '\'':
sBuilder.append('\\');
sBuilder.append('\'');
break;
case '"': /* Better safe than sorry */
if (escapeDoubleQuotes) {
sBuilder.append('\\');
}
sBuilder.append('"');
break;
case '\032': /* This gives problems on Win32 */
sBuilder.append('\\');
sBuilder.append('Z');
break;
case '\u00a5':
case '\u20a9':
// escape characters interpreted as backslash by mysql
// fall through
default:
sBuilder.append(c);
}
}
return sBuilder.toString();
}
}
| 归档时间: |
|
| 查看次数: |
237172 次 |
| 最近记录: |