java开发中sql注入正则表达式检测_正则校验 sql 是否又注入的问题

sql拼装过程中有时候需要把特殊外部的参数拼装到sql语句中去，若不检测外部传入的参数是否含有sql关键词，黑客利用系统这个漏洞注入sql脚本语句进行数据库删除或盗取数据资料。

sql关键词脚本检查正则表达式

\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|

Java语言

/**
 * 是否含有sql注入，返回true表示含有
 * @param obj
 * @return
 */
public static boolean containsSqlInjection(Object obj){
    Pattern pattern= Pattern.compile("\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b|(\\*|;|\\+|'|%)");
    Matcher matcher=pattern.matcher(obj.toString().toLowerCase()); return matcher.find(); }
1
2
3
4
5
6
7
8

单元测试

@Test
public void testContainsSqlInjection(){
    boolean b1=SqlUtils.containsSqlInjection("and nm=1");
    assertEquals("b1不为true",true,b1);
    boolean b2=SqlUtils.containsSqlInjection("niamsh delete from ");
    assertEquals("b2不为true",true,b2);
    boolean b3=SqlUtils.containsSqlInjection("stand");
    assertEquals("b3不为false",false,b3);
    boolean b4=SqlUtils.containsSqlInjection("and");
    assertEquals("b4不为true",true,b4);
    boolean b5=SqlUtils.containsSqlInjection("niasdm%asjdj");
    assertEquals("b5不为true",true,b5);
}//加入Java开发交流君样：756584822一起吹水聊天
1
2
3
4
5
6
7
8
9
10
11
12
13

最新2020整理收集的一些高频面试题（都整理成文档），有很多干货，包含mysql，netty，spring，线程，spring cloud、jvm、源码、算法等详细讲解，也有详细的学习规划图，面试题整理等，需要获取这些内容的朋友请加Q君样：756584822