sql拼裝過(guò)程中有時(shí)候需要把特殊外部的參數(shù)拼裝到sql語(yǔ)句中去,若不檢測(cè)外部傳入的參數(shù)是否含有sql關(guān)鍵詞,黑客利用系統(tǒng)這個(gè)漏洞注入sql腳本語(yǔ)句進(jìn)行數(shù)據(jù)庫(kù)刪除或盜取數(shù)據(jù)資料。
sql關(guān)鍵詞腳本檢查正則表達(dá)式
/b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)/b|(/*|;|/+|'|%)
Java語(yǔ)言
/** * 是否含有sql注入,返回true表示含有 * @param obj * @return */public static boolean containsSqlInjection(Object obj){ Pattern pattern= Pattern.compile("http://b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)//b|(//*|;|//+|'|%)"); Matcher matcher=pattern.matcher(obj.toString()); return matcher.find();}單元測(cè)試
@Testpublic void testContainsSqlInjection(){ boolean b1=SqlUtils.containsSqlInjection("and nm=1"); assertEquals("b1不為true",true,b1); boolean b2=SqlUtils.containsSqlInjection("niamsh delete from "); assertEquals("b2不為true",true,b2); boolean b3=SqlUtils.containsSqlInjection("stand"); assertEquals("b3不為false",false,b3); boolean b4=SqlUtils.containsSqlInjection("and"); assertEquals("b4不為true",true,b4); boolean b5=SqlUtils.containsSqlInjection("niasdm%asjdj"); assertEquals("b5不為true",true,b5);}總結(jié)
以上所述是小編給大家介紹的sql關(guān)鍵詞腳本檢查正則表達(dá)式,希望對(duì)大家有所幫助,如果大家有任何疑問(wèn)歡迎給我留言,小編會(huì)及時(shí)回復(fù)大家的!
新聞熱點(diǎn)
疑難解答
網(wǎng)友關(guān)注
