本文研究的主要是Java面試題中的一個(gè)比較常見的題目，判斷及防止SQL注入的問題，具體介紹如下。

SQL注入是目前黑客最常用的攻擊手段，它的原理是利用數(shù)據(jù)庫(kù)對(duì)特殊標(biāo)識(shí)符的解析強(qiáng)行從頁(yè)面向后臺(tái)傳入。改變SQL語(yǔ)句結(jié)構(gòu)，達(dá)到擴(kuò)展權(quán)限、創(chuàng)建高等級(jí)用戶、強(qiáng)行修改用戶資料等等操作。

那怎么判斷是否被SQL注入了呢？

通過SQL注入的原理我們知道，判斷SQL注入可以通過頁(yè)面?zhèn)魅氲臄?shù)據(jù)，后臺(tái)不應(yīng)該相信從后臺(tái)傳入的任何數(shù)據(jù)特別是特殊整型參數(shù)和特殊字符參數(shù)！

防止SQL注入其實(shí)也很簡(jiǎn)單

1.檢查變量數(shù)據(jù)類型和格式

只要是固定格式的變量，在SQL語(yǔ)句執(zhí)行前，應(yīng)該嚴(yán)格按照固定格式檢查，確保變量是我們預(yù)想的格式！

2.過濾特殊符號(hào)

對(duì)于無法確定固定格式的變量，一定要進(jìn)行特殊符號(hào)過來或轉(zhuǎn)移處理，一面之星SQL時(shí)有歧義。

當(dāng)我們上傳圖片的時(shí)候

enctype=\”multipart/form-data\”
enctype=”multipart/form-data”

沒有“/“，表單中enctype=”multipart/form-data”的意思，是設(shè)置表單的MIME編碼。默認(rèn)情況，這個(gè)編碼格式是application/x-www-form-urlencoded，不能用于文件上傳；只有使用了multipart/form- data，才能完整的傳遞文件數(shù)據(jù)，進(jìn)行下面的操作.

3.綁定變量，使用預(yù)編譯語(yǔ)句

實(shí)際上，綁定變量使用預(yù)編譯語(yǔ)句是預(yù)防SQL注入的最佳方法，使用預(yù)編譯的SQL語(yǔ)句語(yǔ)義不會(huì)發(fā)生改變。在SQL語(yǔ)句中，變量用問號(hào)？表示，黑客即使本事再大，也無法改變SQL語(yǔ)句的格式，從根本上杜絕了SQL注入攻擊的發(fā)生。

4.數(shù)據(jù)庫(kù)信息加密安全

有時(shí)候數(shù)據(jù)庫(kù)信息泄露了，我們應(yīng)該對(duì)數(shù)據(jù)庫(kù)的密碼等信息進(jìn)行加密（MD5等），這樣信息泄露，損失也可以在控制在一定范圍內(nèi)。

使用JSP的時(shí)候要注意

1.不要隨意開一生產(chǎn)環(huán)境匯總Webserver的錯(cuò)誤顯示。

2.永遠(yuǎn)不要相信來自用戶端的變量輸入，有固定格式的變量一定要嚴(yán)格檢查對(duì)應(yīng)的格式，沒有固定格式的變量需要對(duì)引號(hào)等特殊字符進(jìn)行必要的過濾轉(zhuǎn)義。

3.使用預(yù)編譯綁定變量的SQL語(yǔ)句

4.做好數(shù)據(jù)庫(kù)賬號(hào)權(quán)限管理

5.嚴(yán)格加密處理用戶機(jī)密信息

一個(gè)好的程序一定要注意安全性，否則只適合練手。

總結(jié)

以上就是本文關(guān)于Java面試題解析之判斷以及防止SQL注入的全部?jī)?nèi)容，希望對(duì)大家有所幫助。感興趣的朋友可以繼續(xù)參閱本站其他相關(guān)專題，如有不足之處，歡迎留言指出。感謝朋友們對(duì)本站的支持！

最新評(píng)論