2007-09-12
jsp参数过滤防注入的解决方法
关键字: 反黑
首先注入的类型分为参数数字型注入,参数字浮型注入,搜索框注入三种。
防注入的方法
1)参数过滤。
2)sql语句添加参数用占位符。
防注入的方法
1)参数过滤。
2)sql语句添加参数用占位符。
public static boolean sql_inj(String str)
{
String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
String inj_stra[] = split(inj_str,"|");
for (int i=0 ; i < inj_stra.length ; i++ )
{
if (str.indexOf(inj_stra)>=0)
{
return true;
}
}
return false;
}
jsp中调用该函数检查是否包函非法字符
<%
if(request.getParameter("userID") != null)
userID = request.getParameter("userID").trim();
if (StringUtil.sql_inj(userID) || StringUtil.sql_inj(pwd)){
%>
<Script Language=javascript>alert('参数中包含非法字符!');history.back(-1);</Script>" ;
<%
}else{
……
}%>
发表评论
voff12
- 浏览: 29272 次
- 来自: 北京
- 详细资料
搜索本博客
我的相册
共 2 张
最近加入圈子
最新评论
-
hibernate的尝试
# 多看文档,多思考,自己解决问题。 # 多写代码,多锻炼,程序不费力气。有道 ...
-- by discus733 -
hibernate的尝试
你这一片文章写的很早,但对我这个初学者来说是雪中送炭。多谢了
-- by discus733 -
在tomcat下用hibernate的 ...
[/i][/b][img][/img]引用 [i][b][/b][b][b][/ ...
-- by snowspice -
一道关于热门关键词的面试 ...
JavaEye实现了http://www.javaeye.com/search
-- by voff12 -
spring+hibernate配置c3p0 ...
zhaosong 写道谢谢tom.duan 检测连接是否可用,是直接发送一个简 ...
-- by tom.duan
评论排行榜