专栏名称: 算法爱好者
算法是程序员的内功!伯乐在线旗下账号「算法爱好者」专注分享算法相关文章、工具资源和算法题,帮程序员修炼内功。
今天看啥  ›  专栏  ›  算法爱好者

10 个你必须知道的 Java 安全最佳实践

算法爱好者  · 公众号  · 算法  · 2019-12-02 20:00
(给算法爱好者加星标,修炼编程内功)编译:ImportNew/唐尤华snyk.io/blog/10-java-security-best-practices/1.用查询参数化防止注入在2017版OWASP十大漏洞中,注入攻击在当年名列前茅。查看典型的Java SQL注入,会发现查询参数拼接进了SQL语句。下面Java代码执行的SQL非常不安全,攻击者会利用它来获取设定之外的信息。public void selectExample(String parameter) throws SQLException { Connection connection = DriverManager.getConnection(DB_URL, USER, PASS); String query = "SELECT * FROM USERS WHERE lastname = " + parameter; Statement statement = connection.createStatement(); ResultSet result = statement.executeQuery(query); printResult(result);}如果例子中的参数写成 '' OR 1=1,那么查询结果会包含表中所有条目。如果数据库支持多个查询参数问题会更严重 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照