sql拼裝過程中有時候需要把特殊外部的參數拼裝到sql語句中去,若不檢測外部傳入的參數是否含有sql關鍵詞,黑客利用系統這個漏洞注入sql腳本語句進行數據庫刪除或盜取數據資料。
sql關鍵詞腳本檢查正則表達式
\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\b|(\*|;|\+|'|%)
Java語言
/** * 是否含有sql注入,返回true表示含有 * @param obj * @return */ public static boolean containsSqlInjection(Object obj){ Pattern pattern= Pattern.compile("\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b|(\\*|;|\\+|'|%)"); Matcher matcher=pattern.matcher(obj.toString()); return matcher.find(); }
單元測試
@Test public void testContainsSqlInjection(){ boolean b1=SqlUtils.containsSqlInjection("and nm=1"); assertEquals("b1不為true",true,b1); boolean b2=SqlUtils.containsSqlInjection("niamsh delete from "); assertEquals("b2不為true",true,b2); boolean b3=SqlUtils.containsSqlInjection("stand"); assertEquals("b3不為false",false,b3); boolean b4=SqlUtils.containsSqlInjection("and"); assertEquals("b4不為true",true,b4); boolean b5=SqlUtils.containsSqlInjection("niasdm%asjdj"); assertEquals("b5不為true",true,b5); }
轉載:
https://blog.csdn.net/weixin_44568561/article/details/91867981