sql拼裝過程中有時(shí)候需要把特殊外部的參數(shù)拼裝到sql語(yǔ)句中去,若不檢測(cè)外部傳入的參數(shù)是否含有sql關(guān)鍵詞�,黑客利用系統(tǒng)這個(gè)漏洞注入sql腳本語(yǔ)句進(jìn)行數(shù)據(jù)庫(kù)刪除或盜取數(shù)據(jù)資料����。
sql關(guān)鍵詞腳本檢查正則表達(dá)式
\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\b|(\*|;|\+|'|%)
Java語(yǔ)言
/**
* 是否含有sql注入�,返回true表示含有
* @param obj
* @return
*/
public static boolean containsSqlInjection(Object obj){
Pattern pattern= Pattern.compile("\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b|(\\*|;|\\+|'|%)");
Matcher matcher=pattern.matcher(obj.toString());
return matcher.find();
}
單元測(cè)試
@Test
public void testContainsSqlInjection(){
boolean b1=SqlUtils.containsSqlInjection("and nm=1");
assertEquals("b1不為true",true,b1);
boolean b2=SqlUtils.containsSqlInjection("niamsh delete from ");
assertEquals("b2不為true",true,b2);
boolean b3=SqlUtils.containsSqlInjection("stand");
assertEquals("b3不為false",false,b3);
boolean b4=SqlUtils.containsSqlInjection("and");
assertEquals("b4不為true",true,b4);
boolean b5=SqlUtils.containsSqlInjection("niasdm%asjdj");
assertEquals("b5不為true",true,b5);
}
總結(jié)
以上所述是小編給大家介紹的sql關(guān)鍵詞腳本檢查正則表達(dá)式��,希望對(duì)大家有所幫助����,如果大家有任何疑問歡迎給我留言,小編會(huì)及時(shí)回復(fù)大家的���!
您可能感興趣的文章:- SQL 正則表達(dá)式及mybatis中使用正則表達(dá)式
- Mysql語(yǔ)法�、特殊符號(hào)及正則表達(dá)式的使用詳解
- SqlServer類似正則表達(dá)式的字符處理問題
- PostgreSQL 正則表達(dá)式 常用函數(shù)的總結(jié)
- MySql中使用正則表達(dá)式查詢的方法
- MySQL中使用replace、regexp進(jìn)行正則表達(dá)式替換的用法分析
- MYSQL使用正則表達(dá)式過濾數(shù)據(jù)
- notepad++ 等用正則表達(dá)式自動(dòng)添加sql引號(hào)的技巧
- MySQL中REGEXP正則表達(dá)式使用大全
- mysql中如何使用正則表達(dá)式查詢
