A. struts2防止sql注入
struts是控制层 根本不存在sql注入的问题 他负责页面的跳转,你说的应该是在持久层
B. 在STRUTS框架 中如何有效的防止 SQL 注入式攻击
我习惯用hibernate。这个自己不会去写sql语句。这个好像能防治SQL 注入式攻击。
1 字符串过滤
2 preparedstatement
第一个以前听说过....好像是用一个类javax.servlet.Filter
给你断代码可以参考一下
package filter;
import java.io.IOException;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
public class EncodingFilter implements Filter
{
protected FilterConfig filterConfig;
private String targetEncoding;
public EncodingFilter()
{
targetEncoding = "gb2312";//直接初始化0912
}
public void init(FilterConfig filterconfig) throws ServletException
{
filterConfig = filterconfig;
//targetEncoding = filterconfig.getInitParameter("encoding");//web.xml挂参初始化
}
public void doFilter(ServletRequest servletrequest, ServletResponse servletresponse, FilterChain filterchain)
throws IOException, ServletException
{
HttpServletRequest httpservletrequest = (HttpServletRequest)servletrequest;
httpservletrequest.setCharacterEncoding(targetEncoding);
System.out.println("使用" targetEncoding "对请求进行编码过滤");
filterchain.doFilter(servletrequest, servletresponse);
}
public void setFilterConfig(FilterConfig filterconfig)
{
filterConfig = filterconfig;
}
public void destroy()
{
filterConfig = null;
}
}
C. java如何防止sql注入
采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
String
sql=
"select
*
from
users
where
username=?;
PreparedStatement
preState
=
conn.prepareStatement(sql);
preState.setString(1,
userName);
preState.setString(2,
password);
ResultSet
rs
=
preState.executeQuery();
D. 如何防止SQL注入
(1) 脚本注入式的攻击
(2) 恶意用户输入用来影响被执行的 SQL 脚本
具体可以参考:
http://wenku..com/view/5283ca75767f5acfa1c7cdd4.html
http://tiandm506.blog.163.com/blog/static/12781832720131461528297/
可以搜索到很多
看什么对自己有用
E. java的框架(比如struts2)对于xss攻击、sql注入等黑客方式有防御么
框架本身并不具有这些功能。
防止xss,sql等的攻击大部分需要程序员自己注意。
sql注入本身就是sql语句写法的漏洞导致。
xss攻击的防御还是需要对非法字符串进行判断过滤。
F. 如何防止sql注入
sql注入其实就是在这些不安全控件内输入sql或其他数据库的一些语句,从而达到欺骗服务器执行恶意到吗影响到数据库的数据。防止sql注入,可以在接受不安全空间的内容时过滤掉接受字符串内的“'”,那么他不再是一条sql语句,而是一个类似sql语句的zifuc,执行后也不会对数据库有破坏。
如:-----下面这一段是找的
username = request("username") //获取用户名 这里是通过URL传值获取的
password = request("password") //获取密码 也是通过URL传值获取的
sql="select * from userlist where username = '" & username & "' and password = '" & password & "'"--------如果某个人知道某个用户名是admin,常常有人网站的管理员用户名就是admin,这是密码可以选用'or 1 or ',
那么sql="select * from userlist where username = 'admin' and password = '' or 1 or ''",显然1是恒真的,那么验证密码就通过了。补充:
防止的方式比较多,比如可以限制username,password中出现"'"这些字符,一般网站都是只允许数字,字符,下划线的组合,这可以通过javascript验证。也可以采取用存储过程代替sql拼接,等等。
G. 防止sql注入
如果使用.net,那就简单了,可以用ADO.NET的参数化查询。
例如:
SqlCommand cmd=new SqlCommand("SELECT * FROM test WHERE id=@id",conn);
cmd.Parameters.AddWithValue("@id",sid);
cmd.ExecuteNonQuery();
这个有很多种用法,详细的内容需要对离线数据库的概念进行理解
H. struts2防止sql注入
struts是控制层
根本不存在sql注入的问题
他负责页面的跳转,你说的应该是在持久层
I. struts2怎么防止sql注入
sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种死板的方式。
一起jquery,17jquery
mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。其实Mybatis的sql是一个具有“输入+输出”功能,类似于函数的结构,如下:
一起jquery,17jquery
<</span>select id="getBlogById" resultType="Blog" parameterType=”int”>
17jquery.com
select id,title,author,content 内容来自17jquery
from blog where id=#{id} 一起jquery,17jquery
</</span>select> 内容来自17jquery
这里,parameterType标示了输入的参数类型,resultType标示了输出的参数类型。回应上文,如果我们想防止sql注入,理所当然地要在输入参数上下功夫。上面代码中高亮部分即输入参数在sql中拼接的部分,传入参数后,打印出执行的sql语句,会看到sql是这样的:
内容来自17jquery
select id,title,author,content from blog where id = ?
一起jquery,17jquery
不管输入什么参数,打印出的sql都是这样的。这是因为mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?”就可以了。因为sql注入只能对编译过程起作用,所以这样的方式就很好地避免了sql注入的问题。
一起jquery,17jquery
mybatis是如何做到sql预编译的呢?其实在框架底层,是jdbc中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,能够提高效率,原因是sql已编译好,再次执行时无需再编译。 一起jquery,17jquery
话说回来,是否我们使用mybatis就一定可以防止sql注入呢?当然不是,请看下面的代码:
17jquery.com
<</span>select id="orderBlog" resultType="Blog" parameterType=”map”>
17jquery.com
select id,title,author,content 一起jquery,17jquery
from blog order by ${orderParam}
17jquery.com
</</span>select>
内容来自17jquery
仔细观察,内联参数的格式由“#{xxx}”变为了${xxx}。如果我们给参数“orderParam”赋值为”id”,将sql打印出来,是这样的:
内容来自17jquery
select id,title,author,content from blog order by id
一起jquery,17jquery
显然,这样是无法阻止sql注入的。在mybatis中,”${xxx}”这样格式的参数会直接参与sql编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式,所以,这样的参数需要我们在代码中手工进行处理来防止注入。 一起jquery,17jquery
结论:在编写mybatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。
J. STRUTS 中如何有效的防止 SQL 注入式攻击
建议用hibernate
因为他里面用的是hql所以很难进行SQL 注入式攻击。
也可以用存储过程..