sql关键词脚本检查正则表达式的方法
sql拼装过程中有时候需要把特殊外部的参数拼装到sql语句中去,若不检测外部传入的参数是否含有sql关键词,黑客利用系统这个漏洞注入sql脚本语句进行数据库删除或盗取数据资料。
sql关键词脚本检查正则表达式
\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\b|(\*|;|\+|'|%)
Java语言
/**
*是否含有sql注入,返回true表示含有
*@paramobj
*@return
*/
publicstaticbooleancontainsSqlInjection(Objectobj){
Patternpattern=Pattern.compile("\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b|(\\*|;|\\+|'|%)");
Matchermatcher=pattern.matcher(obj.toString());
returnmatcher.find();
}
单元测试
@Test
publicvoidtestContainsSqlInjection(){
booleanb1=SqlUtils.containsSqlInjection("andnm=1");
assertEquals("b1不为true",true,b1);
booleanb2=SqlUtils.containsSqlInjection("niamshdeletefrom");
assertEquals("b2不为true",true,b2);
booleanb3=SqlUtils.containsSqlInjection("stand");
assertEquals("b3不为false",false,b3);
booleanb4=SqlUtils.containsSqlInjection("and");
assertEquals("b4不为true",true,b4);
booleanb5=SqlUtils.containsSqlInjection("niasdm%asjdj");
assertEquals("b5不为true",true,b5);
}
总结
以上所述是小编给大家介绍的sql关键词脚本检查正则表达式,希望对大家有所帮助,如果大家有任何疑问欢迎给我留言,小编会及时回复大家的!