java web 防止sql注入攻击_JavaWeb防注入知识点（一）

柔情只为你懂 2022-11-03 04:08 456阅读 0赞

一、防sql注入办法

在apache commons-lang(2.3以上版本)中为我们提供了一个方便做转义的工具类，主要是为了防止sql注入，xss注入攻击的功能。总共提供了以下几个方法：

![203723a0ff477e2a1bcd2f1c9133841e.png][]

1.escapeSql 提供sql转移功能，防止sql注入攻击，例如典型的万能密码攻击' ' or 1=1 ' '

StringBuffer sql = new StringBuffer("select key\_sn,remark,create\_date from tb\_selogon\_key where 1=1 ");

if(!CommUtil.isEmpty(keyWord))\{

sql.append(" and like '%" + StringEscapeUtils.escapeSql(keyWord) + "%'");

\}

2.escapeHtml /unescapeHtml  转义/反转义html脚本

System.out.println(StringEscapeUtils.escapeHtml("dddd"));

//输出结果为：dddd

System.out.println(StringEscapeUtils.unescapeHtml("dddd"));

//输出为：ddd3.escapeJavascript/unescapeJavascript 转义/反转义js脚本

System.out.println(StringEscapeUtils.escapeJavaScript(""));

//输出为：4.escapeJava/unescapeJava 把字符串转为unicode编码

System.out.println(StringEscapeUtils.escapeJava("中国"));

//输出为：用escapeJava方法转义之后的字符串为:/u4E2D/u56FD/u5171/u4EA7/u515A二、防js注入办法

如第一部分所说，可以使用commons-lang包后台转换实现；

还可以用 HTML 编码任何网站用户输入的数据，如： 使用 HTML 编码一个字符串的含意是什么呢？使用 HTML 编码字符串时，危险字符如 < 和 > 被替换为 HTML 实体，如 < 和 >。所以，当使用 HTML 编码字符串 时，它将转换为 。浏览器在解析编码的字符串时不再执行 JavaScript 脚本。而是显示无害的页面。

[203723a0ff477e2a1bcd2f1c9133841e.png]: /images/20221024/33e40be353f44adab8be29979d8c82c1.png

发表评论取消回复

表情：

评论列表（有 0 条评论，456人围观）

还没有评论，来说两句吧...

相关阅读

相关如何在Java Web应用中防止SQL注入攻击？

防止SQL注入攻击是Web开发中的重要环节。以下是几个常用的策略： 1. **参数化查询**：这是最直接也是最有效的防止SQL注入的方法。例如，使用PreparedStat

拼搏现实的明天。/ 2024年10月25日 10:33/ 0 赞/ 35 阅读

相关实战：在Java Web中如何防止SQL注入攻击？

在Java Web中防止SQL注入攻击，可以遵循以下几个步骤： 1. **参数化查询**：使用`PreparedStatement`而不是`Statement`进行S

￡神魔★判官ぃ/ 2024年10月20日 23:54/ 0 赞/ 46 阅读

相关在Java Web开发中，如何防止SQL注入攻击

在Java Web开发中，防止SQL注入攻击主要通过以下几个步骤： 1. **参数化查询**：使用JDBC的PreparedStatement来代替直接调用State

喜欢ヅ旅行/ 2024年10月08日 02:39/ 0 赞/ 61 阅读

相关在Java Web开发中，如何防止SQL注入攻击

在Java Web开发中防止SQL注入攻击主要通过以下几种方式： 1. **参数化查询**：使用JDBC API中的`PreparedStatement`来代替直接的

╰半橙微兮°/ 2024年09月26日 06:27/ 0 赞/ 68 阅读

相关 Java Web开发：如何防止SQL注入攻击的实例

在Java Web开发中，防止SQL注入攻击是一个重要的安全措施。以下是一个具体的实例： 1. **参数化查询**：这是最常用的防止SQL注入的方法。例如使用JDBC的Pr

谁践踏了优雅/ 2024年09月16日 20:21/ 0 赞/ 66 阅读

相关 mysql like 防注入,三十九、MySQL 安全及防止 SQL 注入攻击

如果通过网页获取用户输入的数据并将其插入 MySQL 数据库，那么就有可能发生 SQL注入攻击的安全问题作为研发，有一条铁律需要记住，那就是永远不要相信用户的数据，哪怕

太过爱你忘了你带给我的痛/ 2023年01月13日 13:56/ 0 赞/ 274 阅读

相关 java web 防止sql注入攻击_JavaWeb防注入知识点（一）

一、防sql注入办法在apache commons-lang(2.3以上版本)中为我们提供了一个方便做转义的工具类，主要是为了防止sql注入，xss注入攻击的功能。总共提供

柔情只为你懂/ 2022年11月03日 04:08/ 0 赞/ 457 阅读

相关 sql注入详情【攻击与防止】

所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就

﹏ヽ暗。殇╰゛Y/ 2022年04月11日 04:37/ 0 赞/ 374 阅读

相关防止Xss、SQL注入攻击-Java

前言： > 1.XSS简介跨站脚本（cross site script）简称为XSS，是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。 XS

深藏阁楼爱情的钟/ 2022年01月18日 20:09/ 0 赞/ 415 阅读

相关 TP5防sql注入、防xss攻击

框架默认没有设置任何过滤规则可以配置文件中设置全局的过滤规则 `config.php` 配置选项 `default_filter` 添加以下代码即可 //

朱雀/ 2022年01月16日 13:53/ 0 赞/ 473 阅读