码迷,mamicode.com
首页 > 数据库 > 详细

【Javaweb】后台的字符串转义,入库之前记得先对字符串转义防止sql注入问题

时间:2015-03-28 11:39:30      阅读:298      评论:0      收藏:0      [点我收藏+]

标签:sql注入   字符转义   安全   转义   

在《【JavaScript】某些字符不转义可以导致网页崩溃与涉及转义字符的显示方法》(点击打开链接)提及到一种表单之前,必须把表单的输入框的内容转义的方法,但是,其实这种字符串的转义更加应该放在后台中进行。这样同时能够有效地防止sql注入的问题。

所谓的sql注入是什么呢?比如,你做了一个登录功能什么的。你必须把根据用户输入的用户名,查询存放在数据库的密码的,然后与密码比对是不是?

select语句一般这样写select username,password from userinfo表 where username=传过来的参数。

好了,如果这时候用户在自己的登录名输入a;drop database;,或者a or 1=1;则能把你的数据删除,或者任何情况都可能登录之类的,再或者能够导致你的tomcat被异常信息弄到崩溃。

同时,如果你不转义,就入库,就算用户是一个善意输入,也能够导致你的网页崩毁。

比如用户只是在交流输入框的写法,输入的内容有 <input type="text" /> 之类的,你再于数据库查询出来,则会导致你该显示<input type="text" />这个部分,变成了一个输入框。这还是小事。如果某些别有用心的用户,构造一个<form action="xx" />的表单,足以造成跨站攻击。

因此,我们对于一些不应该存在的数据,必须进行转义显示。

这里,《【JavaScript】某些字符不转义可以导致网页崩溃与涉及转义字符的显示方法》(点击打开链接)、与下面介绍的方法,用一种就可以了,否则多种字符转义的方法冲突,<转成& lt;又被你转成& amp; lt;那么用户看到的则是& lt; ,非常让人迷惑。同时注意《【jQuery】网页文本格式编辑器xheditor》(点击打开链接)这个编辑器,在提交表单就会自动帮你完成转义的。总之最后的意思就是,对于那些带编辑器的文本框,你Encode了多少次,就应该Decode多少次。对于那些单行文本框,我们只需要Encode,不对其进行Decode,因为我们推定其没有格式的!

注意:如下代码的&都用全角表示了,应该使用半角的,但是半角的&会被csdn吞了,可见csdn都已经对这些符号处理好才敢上来看网站的!

同时,还需要注意的是,某些符号在replaceAll方法的写法,毕竟replaceAll第一个参数是填正则表达式的,某些符号会对正则表达式产生冲突的。

public class EncodeDecodeUtil {
	/*
	 * 所有文本框,都必须先经过htmlEncode再入库(防sql注入)
	 * 所有显示,如果是单行文本框无须经过htmlDecode
	 * 定义:单行文本框输入的内容都是没有格式的内容 推定:所有在单行文本框输入html标签的都是不良行为
	 * 带编辑器的多行文本框的内容应该经过htmlDecode,保持其固有格式
	 * 注意到script已经被强力转义不再decode还原,因此给你有格式又怎么样?
	 */
	public static String htmlEncode(String html) {
		if (html != null) {
			// 必要
			return html
					.replaceAll("&", "&amp;")
					.replaceAll("<", "&lt;")
					.replaceAll(">", "&gt;")
					.replaceAll("\"", "&quot;")
					.replaceAll(" ", "&nbsp;")
					// 一些可能出现问题的半角符号,还是要转义的。
					// ,+、*、|、\、?等符号在正则表达示中有相应的不同意义。要写成\\,\\+之类
					.replaceAll("[+]", "+")
					.replaceAll("-", "-")
					// \最为特殊,对于正则表达式敏感也对于java字符串敏感,其在replace的写法为\\\					.replaceAll("\\\\", "\").replaceAll("/", "/")
					.replaceAll("[*]", "*")
					.replaceAll(":", ":")
					.replaceAll("[?]", "?")
					.replaceAll("[|]", "|")
					// 非必要,但是还是转义吧
					.replaceAll("¢", "&cent;").replaceAll("£", "&pound;")
					.replaceAll("¥", "&yen;").replaceAll("§", "&sect;")
					.replaceAll("©", "&copy;").replaceAll("®", "&reg;")
					.replaceAll("×", "&times;").replaceAll("÷", "&divide;");
		} else {
			//避免控制入库导致报错,如果遇到空值,先替换成一个空格
			//主要是防止表单验证时,某些浏览器因为兼容性问题,取不到表单某些项的值
			return " ";
		}
	}
	// 这里与htmlEncode成轴对称!正如汇编语言,变量的出栈入栈互成对子才能保护现场一样
	// 写得我很蛋疼,手工把它反过来了
	public static String htmlDecode(String html) {
		if (html != null) {
			return html.replaceAll("&divide;", "÷")
					.replaceAll("&times;", "×")
					.replaceAll("&reg;", "®")
					.replaceAll("&copy;", "©")
					.replaceAll("&sect;", "§")
					.replaceAll("&yen;", "¥")
					.replaceAll("&pound;", "£")
					.replaceAll("&cent;", "¢")
					// “非必要,但是还是转义吧”部分
					.replaceAll("|", "|").replaceAll("?", "?")
					// 在replace中,在第一个位置要写成[*],在第二个位置就不用这样写
					// 因为这里不是正则表达式
					.replaceAll(":", ":").replaceAll("*", "*")
					.replaceAll("/", "/").replaceAll("\", "\\")
					.replaceAll("-", "-")
					.replaceAll("+", "+")
					// “一些可能出现问题的半角符号,还是要转义的。”部分
					.replaceAll("&nbsp;", " ").replaceAll("&quot;", "\"")
					.replaceAll("&gt;", ">").replaceAll("&lt;", "<")
					.replaceAll("&amp;", "&");
					.replaceAll("<script", "&lt;script")
			// “必要”部分

		} else {
			return null;
		}
	}
}

这时,再来回顾文章一开头那个问题,如果用户在输入框输入a;drop database;,或者a or 1=1;之类的,执行数据库查询之前,这段字符早变成a;drop& nbsp;database了。

根本就不会再什么sql注入问题了。而一些正常输入的英文、中文字符则完全没有问题。经过Encode与Decode还是原来的样子!

【Javaweb】后台的字符串转义,入库之前记得先对字符串转义防止sql注入问题

标签:sql注入   字符转义   安全   转义   

原文地址:http://blog.csdn.net/yongh701/article/details/44699267

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!