6

背景:

我目前正在为企业 CMS 数据库(业务对象)开发 Java 前端。目前,我正在构建一个功能以允许用户构建自定义数据库查询。我已经实施了一些措施,以确保用户只能使用已批准用户访问的可用列和运算符的子集进行选择(例如,可以选择 SI_EMAIL_ADDRESS,而不能选择更强大的字段,如 SI_CUID)。到目前为止,事情一直在顺利进行,但现在是时候保护此功能免受潜在的 SQL 注入攻击了。

问题:

我正在寻找一种方法来转义用户输入字符串。我已经看过 PerparedStatement,但是我不得不使用第三方 API 来访问数据库。这些 API 对我来说是不可变的,直接数据库访问是不可能的。各个方法采用表示要运行的查询的字符串,从而使 PreparedStatement 无效(据我所知,它必须针对直接数据库连接运行)。

我考虑过使用 String.replace(),但如果可能的话,我不想重新发明轮子。此外,我与开发 PerparedStatement 的安全专家相差甚远。

我还查看了 PerparedStatement 的 Java API 参考,希望能找到某种 toString() 方法。唉,我一直找不到类似的东西。

任何帮助是极大的赞赏。先感谢您。

参考:

Java - 转义字符串以防止 SQL 注入

Java 等效于 PHP 的 mysql_real_escape_string()

4

3 回答 3

2

当然,使用 PreparedStatement 会更容易、更安全。

ANSI SQL 要求字符串文字以单引号开头和结尾,单引号的唯一转义机制是使用两个单引号:

'Joe''s Caffee'

所以理论上,你只需要用两个单引号替换一个单引号即可。但是,也存在一些问题。首先,一些数据库(例如 MySQL)也(或仅)支持反斜杠作为转义机制。在这种情况下,您需要将反斜杠加倍(也)。

对于 MySQL,我建议使用MySQLUtils。如果您不使用 MySQL,那么您需要检查要使用的确切转义机制是什么。

于 2012-05-09T19:12:49.553 回答
2

您仍然可以使用准备好的语句。请参阅这篇文章:从 java sqlpreparedstatement 获取查询。此外,根据那篇文章,您也许可以使用Log4JDBC来处理这个问题。

这些选项中的任何一个都应该使您不必担心转义字符串以防止 SQL 注入,因为准备好的语句会为您完成。

于 2012-05-09T18:51:58.533 回答
0

虽然,在 Java 中没有标准的方法来处理 PHP 的 mysql_real_escape_string() 我所做的是链接 replaceAll 方法来处理可能需要避免任何异常的每个方面。这是我的示例代码:

public void saveExtractedText(String group,String content) { try { content = content.replaceAll("\", "\\") .replaceAll("\n","\n") .replaceAll("\r", "\r") .replaceAll("\t", "\t") .replaceAll("\00", "\0") .replaceAll("'", "\'") .replaceAll("\"", "\\"");

    state.execute("insert into extractiontext(extractedtext,extractedgroup) values('"+content+"','"+group+"')");
} catch (Exception e) {
    e.printStackTrace();

}

于 2016-01-19T15:01:32.287 回答