SQL注入过滤单引号是否无解

sql注入攻击能够得逞,往往是因为前台页面传递的参数含有非法字符,导致sql原有逻辑发生改变。

如经典的登录验证例子:

假设数据库中username=admin,password=admin123

 public static void main(String[] args) throws Exception {
       String name="admin";
       String password="admin123";
       String sql="select * from user_table where username='"+name+"' and password='"+password+"'";
       System.out.println(sql);
 }

控制台输出拼接后的sql为:select * from user_table where username='admin' and password='admin123'(达到验证用户名,密码效果)

 

 

但是恶意攻击者不知道用户名,密码,通过如下方式仍能通过验证,登陆系统

 public static void main(String[] args) throws Exception {
       String name="xxx";
       String password="xxx' or '1'='1";
       String sql="select * from user_table where username='"+name+"' and password='"+password+"'";
       System.out.println(sql);
 }

控制台输出拼接后的sql为:select * from user_table where username='xxx' and password='xxx' or '1'='1'(达到攻击效果,查询出所有用户信息)

 

导致拼接逻辑发生改变,是由于单引号【'】造成的,如果我在系统中对单引号【'】进行了过滤,全部转换为全角的单引号【’】或其他字符,如【x】,是否能够完全杜绝sql注入,看网上的例子,要过滤许多关键字,我认为如果过滤了单引号【'】基本上就是无解的,谁能给个例子,我过滤了单引号【'】,还能进行sql注入。

  public static void main(String[] args) throws Exception {
       String name="xxx";
       String password="xxx' or '1'='1";
       name=name.replaceAll("'", "x");
       password=password.replaceAll("'", "x");
       String sql="select * from user_table where username='"+name+"' and password='"+password+"'";
       System.out.println(sql);
 }

控制台输出拼接后的sql为:select * from user_table where username='xxx' and password='xxxx or x1x=x1'(普通sql,达不到攻击效果)

你可能感兴趣的:(SQL注入过滤单引号是否无解)