sql注入正则表达式检测
程序员文章站
2022-06-28 20:02:21
sql拼装过程中有时候需要把特殊外部的参数拼装到sql语句中去,若不检测外部传入的参数是否含有sql关键词,黑客利用系统这个漏洞注入sql脚本语句进行数据库删除或盗取数据资料。 ......
sql拼装过程中有时候需要把特殊外部的参数拼装到sql语句中去,若不检测外部传入的参数是否含有sql关键词,黑客利用系统这个漏洞注入sql脚本语句进行数据库删除或盗取数据资料。
sql关键词脚本检查正则表达式
\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\b|(\*|;|\+|'|%)
java语言
/** * 是否含有sql注入,返回true表示含有 * @param obj * @return */ public static boolean containssqlinjection(object obj){ pattern pattern= pattern.compile("\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b|(\\*|;|\\+|'|%)"); matcher matcher=pattern.matcher(obj.tostring()); return matcher.find(); }
单元测试
@test public void testcontainssqlinjection(){ boolean b1=sqlutils.containssqlinjection("and nm=1"); assertequals("b1不为true",true,b1); boolean b2=sqlutils.containssqlinjection("niamsh delete from "); assertequals("b2不为true",true,b2); boolean b3=sqlutils.containssqlinjection("stand"); assertequals("b3不为false",false,b3); boolean b4=sqlutils.containssqlinjection("and"); assertequals("b4不为true",true,b4); boolean b5=sqlutils.containssqlinjection("niasdm%asjdj"); assertequals("b5不为true",true,b5); }
转载:
上一篇: String源码阅读笔记
下一篇: c#搭建webapi项目