防止sql注入的方法

　　目前比较常见的网络攻击中，sql注入算是一种，这是针对程序员的疏忽而产生的攻击，通常让人难以防备，这里给大家介绍一下防止sql注入的方法，可以帮助运维人员更好的管理数据库安全。

防止sql注入的方法

　　有需要防止sql注入的朋友，可以先试试下载网站安全狗这款免费软件，安装之后直接对全栈进行扫描，会自动对网站进行安全漏洞、监控和修复漏洞，防止sql注入，提升网站的保护等级。平时也可以帮助网站进行防御保护，保证网站的正常运行，避免网站被黑客入侵。

　　如果对于网站安全有更深层次的需求，可以试用下我们的旗舰版产品，除了拥有免费版的全部功能，并且是升级过的功能之外，还拥有其他专业级的安全功能，大家可以自行体验。

　　网站安全狗免费下载地址，免费使用：http://free.safedog.cn/website_safedog.html

　　强力拦截各类

　　注入、跨站、漏洞、应用风险

　　强力拦截SQL注入、XSS跨站、struts2漏洞、建站程序漏洞、0day漏洞、短文件名漏洞、IIS目录漏洞、主动拦截网马上传、带马页面浏览、恶意代码调用组件。

　　精确查杀各类

　　网马、挂马、黑链与畸形文件

　　本地网马引擎与云端网马引擎结合，精确查杀各类网马、挂马、黑链与畸形文件。智能化查杀，精准、快速、资源耗用小、彻底有效清除后门隐患。

　　有效拦截非法攻击请求

　　降低流量攻击伤害

　　智能验证模式有效拦截非法网站攻击请求，降低因流量攻击对网站、服务器带来的伤害。

　　防盗链、特定资源保护

　　有效保护网站资源

　　禁止网站图片、视频文件等资源非法盗链，禁止网站数据库等敏感文件非法下载，有效保护网站重要文件资源。

　　云网络实现

　　网站静态资源全国访问

　　加速

　　对网站图片、CSS、JS静态资源提供全国访问加速，秒级智能云调度系统，瞬时将您的网站资源快速推送到所有访问用户眼前。

防止sql注入的方法

　　这里是针对JSP的应对方法：

　　1.(简单又有效的方法)PreparedStatement

　　采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setXXX方法传值即可。

　　使用好处：

　　(1).代码的可读性和可维护性.

　　(2).PreparedStatement尽最大可能提高性能.

　　(3).最重要的一点是极大地提高了安全性.

　　原理：

　　sql注入只对sql语句的准备(编译)过程有破坏作用

　　而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,

　　而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.

　　2.使用正则表达式过滤传入的参数

　　要引入的包：

　　import java.util.regex.*;

　　正则表达式：

　　private String CHECKSQL = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;

　　判断是否匹配：

　　Pattern.matches(CHECKSQL,targerStr);

　　下面是具体的正则表达式：

　　检测SQL meta-characters的正则表达式 ：

　　/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix

　　修正检测SQL meta-characters的正则表达式 ：/((\%3D)|(=))[^\n]*((\%27)|(\’)|(\-\-)|(\%3B)|(:))/i

　　典型的SQL 注入攻击的正则表达式 ：/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

　　检测SQL注入，UNION查询关键字的正则表达式 ：/((\%27)|(\’))union/ix(\%27)|(\’)

　　检测MS SQL Server SQL注入攻击的正则表达式：

　　/exec(\s|\+)+(s|x)p\w+/ix

　　等等…..

　　3.字符串过滤

　　比较通用的一个方法：

　　(||之间的参数可以根据自己程序的需要添加)

　　public static boolean sql_inj(String str){

　　String inj_str = "'|and|exec|insert|select|delete|update|

　　count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";

　　String inj_stra[] = split(inj_str,"|");

　　for (int i=0 ; i < inj_stra.length ; i++ ){

　　if (str.indexOf(inj_stra[i])>=0){

　　return true;

　　}

　　}

　　return false;

　　}

　　4.jsp中调用该函数检查是否包函非法字符

　　防止SQL从URL注入：

　　sql_inj.java代码：

　　package sql_inj;

　　import java.net.*;

　　import java.io.*;

　　import java.sql.*;

　　import java.text.*;

　　import java.lang.String;

　　public class sql_inj{

　　public static boolean sql_inj(String str){

　　String inj_str = "'|and|exec|insert|select|delete|update|

　　count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";

　　//这里的东西还可以自己添加

　　String[] inj_stra=inj_str.split("\\|");

　　for (int i=0 ; i < inj_stra.length ; i++ ){

　　if (str.indexOf(inj_stra[i])>=0){

　　return true;

　　}

　　}

　　return false;

　　}

　　}

　　5.JSP页面判断代码：

　　使用javascript在客户端进行不安全字符屏蔽

　　功能介绍：检查是否含有”‘”,”\\”,”/”

　　参数说明：要检查的字符串

　　返回值：0：是1：不是

　　函数名是

　　function check(a){

　　return 1;

　　fibdn = new Array (”‘” ,”\\”,”/”);

　　i=fibdn.length;

　　j=a.length;

　　for (ii=0; ii

　　{ for (jj=0; jj

　　{ temp1=a.charAt(jj);

　　temp2=fibdn[ii];

　　if (tem’; p1==temp2)

　　{ return 0; }

　　}

　　}

　　return 1;

　　}

　　总的说来，防范一般的SQL注入只要在代码规范上下点功夫就可以了。

　　凡涉及到执行的SQL中有变量时，用JDBC(或者其他数据持久层)提供的如：PreparedStatement就可以 ，切记不要用拼接字符串的方法就可以了。

　　对于防止sql注入的方法就为大家介绍到这里，如果sql注入攻击并不像其他攻击那么麻烦，只要平时注意代码规范，就能节省很多事情。除了sql注入之外，如果还有其他关于网络安全的需求，都可以向安全狗咨询，我们会尽力帮您解决难题。