javasql过滤

1. 用JAVA程序筛选MYSQL数据库中的数据

这个不用java筛选，直接数据库查找就可以筛选出来了。把筛选出来的数据保存到另外一个数据库。。。

我觉我说清楚了，希望能够帮到你。

2. java 多条件查询的sql怎么防止sql注入漏洞

原理，过滤所有请求中含有非法的字符，例如：, & < select delete 等关键字，黑客可以利用这些字符进行注入攻击，原理是后台实现使用拼接字符串！
你的采纳是我前进的动力，
记得好评和采纳，答题不易，互相帮助，
手机提问的朋友在客户端右上角评价点（满意）即可.
如果你认可我的回答，请及时点击（采纳为满意回答）按钮！！

3. java中怎么用正则表达式去掉sql代码段的注释

直接用程序写也行 利用字符串匹配的方法 找到第一个“/*”和“*/”记录他们的index值，然后利用replace（）函数进行替换

4. java怎么像sql的where条件那样处理list里面的数据

public static void main(String[] args){
vo vo1 = new vo("张三",12,"武汉");
vo vo2 = new vo("李四",12,"武汉");
vo vo3 = new vo("王五",12,"北京");
List<vo> list = Arrays.asList(vo1,vo2,vo3);

//条件
vo vo4 = new vo("",null,"武汉");

if(vo4.getName() != null && !"".equals(vo4.getName())){
list = list.stream().filter(vo -> vo.getName().equals(vo4.getName()))
.collect(Collectors.toList());
}
if(vo4.getAge() != null){
list = list.stream().filter(vo -> vo.getAge().equals(vo4.getAge()))
.collect(Collectors.toList());
}
if(vo4.getCity() != null && !"".equals(vo4.getCity())){
list = list.stream().filter(vo -> vo.getCity().equals(vo4.getCity()))
.collect(Collectors.toList());
}

list.stream().forEach(vo -> {
System.out.println(vo);
});
}

5. 请问大神们 ibatis配置log4J，怎么配置只记录insert、update、delete的sql就是把select语句都过滤掉

可以精确到类，再往下，要自己实现log4j里面的写LOG方法了

6. 用java编写防止SQL注入！求java高手指点！问题解决后，一定提高悬赏！

SQL注入无非就是把对单引号和双"-"进行转换。

最好不要拼装SQL语句，以使用参数化的sql或者直接使用存储过程进行数据查询存取。

7. java防止SQL注入的几个途径

• java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑，如果使用PreparedStatement来代替Statement来执行SQL语句，其后只是输入参数，SQL注入攻击手段将无效，这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构,大部分的SQL注入已经挡住了,在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数

• 01importjava.io.IOException;

• 02importjava.util.Iterator;

• 03importjavax.servlet.Filter;

• 04importjavax.servlet.FilterChain;

• 05importjavax.servlet.FilterConfig;

• 06importjavax.servlet.ServletException;

• 07importjavax.servlet.ServletRequest;

• 08importjavax.servlet.ServletResponse;

• 09importjavax.servlet.http.HttpServletRequest;

• 10importjavax.servlet.http.HttpServletResponse;

• 11/**

• 12*通过Filter过滤器来防SQL注入攻击

• 13*

• 14*/

• {

• 16privateStringinj_str="'|and|exec|insert|select|delete|update|count|*|%

• |chr|mid|master|truncate|char|declare|;|or|-|+|,";
  

• =null;

• 18/**

• 19*?

• 20*/

• 21protectedbooleanignore=true;

• 22publicvoidinit(FilterConfigconfig)throwsServletException{

• 23this.filterConfig=config;

• 24this.inj_str=filterConfig.getInitParameter("keywords");

• 25}

• 26publicvoiddoFilter(ServletRequestrequest,ServletResponseresponse,

• 27FilterChainchain)throwsIOException,ServletException{

• 28HttpServletRequestreq=(HttpServletRequest)request;

• 29HttpServletResponseres=(HttpServletResponse)response;

• 30Iteratorvalues=req.getParameterMap().values().iterator();//获取所有的表单参数

• 31while(values.hasNext()){

• 32String[]value=(String[])values.next();

• 33for(inti=0;i<value.length;i++){

• 34if(sql_inj(value[i])){

• 35//TODO这里发现sql注入代码的业务逻辑代码

• 36return;

• 37}

• 38}

• 39}

• 40chain.doFilter(request,response);

• 41}

• 42publicbooleansql_inj(Stringstr)

• 43{

• 44String[]inj_stra=inj_str.split("\|");

• 45for(inti=0;i<inj_stra.length;i++)

• 46{

• 47if(str.indexOf(""+inj_stra[i]+"")>=0)

• 48{

• 49returntrue;

• 50}

• 51}

• 52returnfalse;

• 53}

• 54}

• 也可以单独在需要防范SQL注入的JavaBean的字段上过滤：

• 1/**

• 2*防止sql注入

• 3*

• 4*@paramsql

• 5*@return

• 6*/

• (Stringsql){

• 8returnsql.replaceAll(".*([';]+|(--)+).*","");

• 9}

8. java 用正则表达式过滤 一句sql，请高人指点

so easy

\$c\{(\w+)\}

9. java防止sql注入有哪些方法

前台我们可以通过过滤用户输入，后台可以通过PreparedStatement来代替Statement来执行SQL语句。

10. 用java PreparedStatement就不用担心sql注入了吗

先感慨下，好久没写博客了，一是工作太忙，二是身体不太给力，好在终于查清病因了，趁着今天闲下来，迫不及待与读者交流，最后忠告一句：身体是活着的本钱！

言归正传，对java有了解的同学基本上都体验过JDBC，基本都了解PreparedStatement，PreparedStatement相比Statement基本解决了SQL注入问题，而且效率也有一定提升。

关于PreparedStatement和Statement其他细节我们不讨论，只关心注入问题。无论读者是老鸟还是菜鸟，都需要问一下自己，PreparedStatement真的百分百防注入吗？

接下来我们研究一下PreparedStatement如何防止注入，本文以MySQL数据库为例。

为了避免篇幅过长，我这里只贴代码片段，希望读者能有一定的基础。

1 String sql = "select * from goods where min_name = ?"; // 含有参数
2 PreparedStatement st = conn.prepareStatement(sql);
3 st.setString(1, "儿童"); // 参数赋值
4 System.out.println(st.toString()); //com.mysql.jdbc.JDBC4PreparedStatement@d704f0: select * from goods where min_name = '儿童'

这段代码属于JDBC常识了，就是简单的根据参数查询，看不出什么端倪，但假如有人使坏，想注入一下呢？

1 String sql = "select * from goods where min_name = ?"; // 含有参数
2 PreparedStatement st = conn.prepareStatement(sql);
3 st.setString(1, "儿童'"); // 参数赋值
4 System.out.println(st.toString()); //com.mysql.jdbc.JDBC4PreparedStatement@d704f0: select * from goods where min_name = '儿童\''

简单的在参数后边加一个单引号，就可以快速判断是否可以进行SQL注入，这个百试百灵，如果有漏洞的话，一般会报错。

之所以PreparedStatement能防止注入，是因为它把单引号转义了，变成了\'，这样一来，就无法截断SQL语句，进而无法拼接SQL语句，基本上没有办法注入了。

所以，如果不用PreparedStatement，又想防止注入，最简单粗暴的办法就是过滤单引号，过滤之后，单纯从SQL的角度，无法进行任何注入。

其实，刚刚我们提到的是String参数类型的注入，大多数注入，还是发生在数值类型上，幸运的是PreparedStatement为我们提供了st.setInt(1,
999);这种数值参数赋值API，基本就避免了注入，因为如果用户输入的不是数值类型，类型转换的时候就报错了。

好，现在读者已经了解PreparedStatement会对参数做转义，接下来再看个例子。

1 String sql = "select * from goods where min_name = ?"; // 含有参数
2 PreparedStatement st = conn.prepareStatement(sql);
3 st.setString(1, "儿童%"); // 参数赋值
4 System.out.println(st.toString()); //com.mysql.jdbc.JDBC4PreparedStatement@8543aa: select * from goods where min_name = '儿童%'

我们尝试输入了一个百分号，发现PreparedStatement竟然没有转义，百分号恰好是like查询的通配符。

正常情况下，like查询是这么写的：

1 String sql = "select * from goods where min_name like ?"; // 含有参数
2 st = conn.prepareStatement(sql);
3 st.setString(1, "儿童" + "%"); // 参数赋值
4 System.out.println(st.toString()); //com.mysql.jdbc.JDBC4PreparedStatement@8543aa: select * from goods where min_name like '儿童%'

查询min_name字段以"儿童"开头的所有记录，其中"儿童"二字是用户输入的查询条件，百分号是我们自己加的，怎么可能让用户输入百分号嘛！等等！如果用户非常聪明，偏要输入百分号呢？

String sql = "select * from goods where min_name like ?"; // 含有参数
st = conn.prepareStatement(sql);
st.setString(1, "%儿童%" + "%"); // 参数赋值
System.out.println(st.toString()); //com.mysql.jdbc.JDBC4PreparedStatement@8543aa: select * from goods where min_name like '%儿童%%'

聪明的用户直接输入了"%儿童%"，整个查询的意思就变了，变成包含查询。实际上不用这么麻烦，用户什么都不输入，或者只输入一个%，都可以改变原意。

虽然此种SQL注入危害不大，但这种查询会耗尽系统资源，从而演化成拒绝服务攻击。

那如何防范呢？笔者能想到的方案如下：

·直接拼接SQL语句，然后自己实现所有的转义操作。这种方法比较麻烦，而且很可能没有PreparedStatement做的好，造成其他更大的漏洞，不推荐。

·直接简单暴力的过滤掉%。笔者觉得这方案不错，如果没有严格的限制，随便用户怎么输入，既然有限制了，就干脆严格一些，干脆不让用户搜索%，推荐。

目前做搜索，只要不是太差的公司，一般都有自己的搜索引擎(例如著名的java开源搜索引擎solr)，很少有在数据库中直接like的，笔者并不是想在like上钻牛角尖，而是提醒读者善于思考，每天都在写着重复的代码，却从来没有停下脚步细细品味。

有读者可能会问，为什么我们不能手动转义一下用户输入的%，其他的再交给PreparedStatement转义？这个留作思考题，动手试一下就知道为什么了。

注意，JDBC只是java定义的规范，可以理解成接口，每种数据库必须有自己的实现，实现之后一般叫做数据库驱动，本文所涉及的PreparedStatement，是由MySQL实现的，并不是JDK实现的默认行为，也就是说，不同的数据库表现不同，不能一概而论。