现有项目有大量的后台查询没有使用预处理，所以前台必须使用 过滤器 对参数做过滤以防止 sql注入 。

Java代码

• 原有方法，使用字符检索过滤：

private boolean isValid(String p) {

p = p.toUpperCase();

if (p.indexOf(“DELETE”) >= 0 || p.indexOf(” ascii “) >= 0

|| p.indexOf(“UPDATE”) >= 0 || p.indexOf(“SELECT”) >= 0

|| p.indexOf(“‘”) >= 0 || p.indexOf(“SUBSTR(“) >= 0

|| p.indexOf(“COUNT(“) >= 0 || p.indexOf(” OR “) >= 0

|| p.indexOf(” AND “) >= 0 || p.indexOf(“DROP”) >= 0

|| p.indexOf(” EXEC UTE”) >= 0 || p.indexOf(“EXEC”) >= 0

|| p.indexOf(“TRUNCATE”) >= 0 || p.indexOf(“INTO”) >= 0

|| p.indexOf(” DECLARE “) >= 0 || p.indexOf(“MASTER”) >= 0

) {

logger.error(“未能通过过滤器：p=” + p);

return false;

}

return true;

}

缺点，对于 UPDATEOK，BORD 这样的参数也会被过滤掉，对于/**/ 或者 /**ABC*/就很难做出判定了。

Java代码

使用正则表达式 过滤：

//过滤 ‘

//ORACLE 注解 — /**/

//关键字过滤 update ,delete

static String reg = “(?:’)|(?:–)|(/\\*(?:.|[\\n\\r])*?\\*/)|”

+ “(\\b(select|update|and|or|delete|insert|trancate| char |into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)”;

static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);

/***************************************************************************

* 参数校验

*

* @param str

*/

public static void isValid(String str) {

if (sqlPattern.matcher(str).find()) {

logger.error(“未能通过过滤器：p=” + p);

return false;

}

return true;

}

最后要注意的是对参数做匹配之前，先要做下 decode 处理：

Java代码

String qurystr = req.getQueryString()==null?””: req.getQueryString();

if (!qurystr.equals(“”)) {

try {

qurystr = java.net.URLDecoder.decode(qurystr);

} catch (Exception e1) {

qurystr = httpReq.getRequestURI();

}

}