防止SQL注入(Java)
[英]Prevent Sql Injection (Java)
问题描述
我想从SQL注入攻击中保护我的应用程序。
第一个问题 :有什么更好的方法呢?
第一种方法:我将每个请求转换为json:
public JsonObject requestToJson(HttpServletRequest request) throws UnsupportedEncodingException{
request.setCharacterEncoding("UTF-8");
StringBuffer jb = new StringBuffer();
String line = null;
try {
BufferedReader reader = request.getReader();
while ((line = reader.readLine()) != null)
jb.append(line);
} catch (Exception e) { /*report an error*/ }
return new JsonParser().parse(jb.toString()).getAsJsonObject();
}
如果这是最好的方法,在这里防止它,那么第二个问题:这里怎么做?
第二种方法:它可以通过Hibernate级别完成。 第二个问题:怎么做?
1 个解决方案
解决方案1
3 已采纳 2015-11-18 05:50:24
感谢此用户: Elliott Frisch 。 他在评论中回答。
这样的JPARepository已经阻止了SQL注入:
public interface UserRepository extends JpaRepository<User, Integer> {
User findByPhoneNumber(String phoneNumber);
}
如果您使用HQL,只需要防止:
String query1 = "select * from MyBean where id = "+ id;
String query2 = "select * from MyBean where id = :id";
第二个,将得到保障。
感谢大家。
在Java Web应用程序中防止SQL注入攻击和XSS的方法
[英]Ways to prevent SQL Injection Attack & XSS in Java Web Application
Java或Spring 2中是否有一种方法可以去除某些字符以防止SQL注入?
[英]Is there a method in Java or Spring 2 that strips out certain characters to prevent SQL injection?
如何在Java中构建查询以防止使用预准备语句进行SQL注入
[英]How to build query in Java to prevent SQL injection using prepared statement
使用Order By的准备好的语句来防止SQL注入Java
[英]Using prepared statement for Order by to prevent SQL injection java
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.