过滤sql注入

本文转载自查看原文 2018-09-21 16:23 1694 每日学习/ sql注入/ 过滤

//效验    
    protected static boolean sqlValidate(String str) {    
        str = str.toLowerCase();//统一转为小写    
        String badStr = "'|select|update|and|or|delete|insert|truncate|char|into|iframe|href|script|activex|html|flash"  
                + "|substr|declare|exec|master|drop|execute|"  
                + "union|;|--|+|,|like|%|#|*|<|>|$|@|\"|http|cr|lf|<|>|(|)";//过滤掉的sql关键字，可以手动添加       
        String[] badStrs = badStr.split("\\|");    
        for (int i = 0; i < badStrs.length; i++) {    
            if (str.indexOf(badStrs[i]) >= 0) {    
                return true;    
            }    
        }    
        return false;    
    }

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 sql注入过滤了#,--+怎么办 java过滤防止sql注入过滤 php过滤sql注入和xss sql注入绕过union select过滤 php防sql注入过滤代码过滤sql注入关键字 yii过滤xss代码，防止sql注入 ctfhub技能树—sql注入—过滤空格基于springboot的sql防注入过滤器 js防止sql注入的参数过滤