`
freeman983
  • 浏览: 229386 次
社区版块
存档分类
最新评论

java使用正则表达式过滤sql注入

阅读更多
现有项目有大量的后台查询没有使用预处理,所以前台必须使用过滤器对参数做过滤以防止sql注入。


原有方法,使用字符检索过滤:
private boolean isValid(String p) {

	p = p.toUpperCase();

	if (p.indexOf("DELETE") >= 0 || p.indexOf("ASCII") >= 0
		|| p.indexOf("UPDATE") >= 0 || p.indexOf("SELECT") >= 0
		|| p.indexOf("'") >= 0 || p.indexOf("SUBSTR(") >= 0
		|| p.indexOf("COUNT(") >= 0 || p.indexOf(" OR ") >= 0
		|| p.indexOf(" AND ") >= 0 || p.indexOf("DROP") >= 0
		|| p.indexOf("EXECUTE") >= 0 || p.indexOf("EXEC") >= 0
		|| p.indexOf("TRUNCATE") >= 0 || p.indexOf("INTO") >= 0
		|| p.indexOf("DECLARE") >= 0 || p.indexOf("MASTER") >= 0
		) {

	    logger.error("未能通过过滤器:p=" + p);

	    return false;
	}
	return true;
}



缺点,对于 UPDATEOK,BORD 这样的参数也会被过滤掉,对于/**/ 或者 /**ABC*/就很难做出判定了。


使用正则表达式过滤:

//过滤 ‘
//ORACLE 注解 --  /**/
//关键字过滤 update ,delete 

static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"
			+ "(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";

static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);

/***************************************************************************
 * 参数校验
 * 
 * @param str
 */
public static void isValid(String str) {

	if (sqlPattern.matcher(str).find()) {
		
		logger.error("未能通过过滤器:p=" + p);
		
		return false;
	}
	return true;
}



最后要注意的是对参数做匹配之前,先要做下decode处理:

String qurystr = req.getQueryString()==null?"": req.getQueryString();

	
if (!qurystr.equals("")) {
	    try {
		qurystr = java.net.URLDecoder.decode(qurystr);
	    } catch (Exception e1) {
		qurystr = httpReq.getRequestURI();
	    }
}


分享到:
评论
1 楼 dongbiying 2013-12-17  

相关推荐

Global site tag (gtag.js) - Google Analytics