spring解决sql注入问题:自定义拦截器

最新推荐文章于 2023-07-27 11:07:08 发布
最新推荐文章于 2023-07-27 11:07:08 发布
阅读量8k 收藏 8
点赞数
分类专栏: 安全扫描漏洞 文章标签: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lj1548259095/article/details/53405088
版权

        近期刚做完的restful接口项目用安全软件扫描后,出现blind sql inject高危漏洞,查看,程序里已经使用了PreparedStatement预编译sql,却仍不好使,找不出原因,最后不得已,自定义了一个sql注入拦截器,对含有非法攻击字符的接口输入参数进行拦截,再次扫描后,漏洞消失。具体实现如下:

      一、自定义拦截器类SqlInjectInterceptor,实现spring包的HandlerInterceptor拦截接口:

package com.bonc.cb.interceptor;
public class SqlInjectInterceptor implements HandlerInterceptor{

	@Override
	public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)
			throws Exception {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, ModelAndView arg3)
			throws Exception {
		// TODO Auto-generated method stub
		
	}

	@Override
	public boolean preHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2) throws Exception {
		// TODO Auto-generated method stub
		if(arg0.getRequestURI().indexOf("CheckAcc")>-1){
			Enumeration<String> names = arg0.getParameterNames();
			while(names.hasMoreElements()){
				String name = names.nextElement();
				String[] values = arg0.getParameterValues(name);
				for(String value: values){
					if(judgeXSS(value.toLowerCase())){
						arg1.setContentType("text/html;charset=UTF-8");
						arg1.getWriter().print("参数含有非法攻击字符,已禁止继续访问!");
						return false;
					}
				}
			}
		}
		
		return true;
	}
	
	/**
	 * 判断参数是否含有攻击串
	 * @param value
	 * @return
	 */
	public boolean judgeXSS(String value){
		if(value == null || "".equals(value)){
			return false;
		}
		String xssStr = "and|or|select|update|delete|drop|truncate|%20|=|-|--|;|'|%|#|+|,|//|/| |\\|!=|(|)";
		String[] xssArr = xssStr.split("\\|");
		for(int i=0;i<xssArr.length;i++){
			if(value.indexOf(xssArr[i])>-1){
				return true;
			}
		}
		return false;
		
	}

}
        二、自定义拦截器配置 

<!-- 解决SQL注入拦截器 -->
	<bean id="SqlInjectInterceptor" class="com.bonc.cb.interceptor.SqlInjectInterceptor"></bean>

	<bean class="org.springframework.web.servlet.mvc.annotation.DefaultAnnotationHandlerMapping">  
	    <property name="interceptors">  
	        <list>  
	            <ref bean="SqlInjectInterceptor"  />  
	        </list>  
	    </property>  
	</bean>

注明:本解决办法为参考了多个文章的基础上,自己编程实现,如有雷同,请谅解。


lj1548259095
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
spring-restful-authorization:这个 Demo 用于演示如何在 RESTful 下使用自定义 Token 保持客户端登录状态,依靠 Spring拦截器和解析器完成权限验证及登录用户注入,并使用 Redis 存储 Token
04-28
打开init.sql文件,将其中的sql语句在MySQL中运行 通过mvn spring-boot:run启动项目,如果日志输出Started Application in 8.112 seconds (JVM running for 14.491)说明启动成功 浏览器打开localhost:8080,可以看到...
Java使用JDBC开发 之 SQL注入攻击解决方案
ONESTARの博客
08-01 3145
目录 一、注入攻击 二、注入攻击解决方案 一、注入攻击 在用户登录的时候,我们往往需要输入账号和密码,通过账号和密码和数据库中保存的账号密码进行匹配,匹配成功则登录成功,但是在匹配的时候会存在注入攻击的安全隐患,在输入账号和密码的时候,在末尾加上"or" 再接上任何为真的语句,这样一来,有真就为真,这样也能登录成功。 现有 mylogon 数据库,里面有 users 数据表,存储了账号...
Spring Boot 如果防护 XSS + SQL 注入攻击 ?一文带你搞定!
Java技术栈,分享最主流的Java技术
03-20 429
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
拦截器中校验请求参数(漏洞修复之防止sql注入)
Logan_addoil的博客
01-10 829
防止sql注入sql中我们常用# 但是有些时候难免要用到拼接sql,这时候我们在后端就要进行参数的判断,综合网上查找的情况,记录一下.
解决sql注入和xss漏洞
05-17 563
WebMvcConfig.java registry.addInterceptor(new SqlInjectInterceptor()).addPathPatterns("/**"); SqlInjectInterceptor.java @Component public class SqlInjectInterceptor implements HandlerInterceptor{ @Override public void afterCompletion(HttpSer.
mybatis sql注入拦截器
u010449328的博客
07-27 646
mybatis防范sql注入拦截插件,为了防止误伤其它参数,插件只解析了mapper中占位符${}的参数来匹配规则,该插件非侵入式和无其它依赖
SpringBoot 如何防护 XSS 攻击
dream317
03-27 270
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。那么,SpringBoot 是如何防护 XSS 攻击的呢?
sql攻击 简单小记
qq_43077857的博客
11-11 323
sql攻击 简单小记
引导程序:Spring Boot整合Mybatis,Druid,PageHelper,Swagger,AOP,过滤器,拦截器,thymeleaf基础入门演示
02-05
开机Spring Boot整合MyBatis数据源Druid监控PageHelper分页Hibernate验证器集成杰克逊日期时间格式化swagger2 api管理自定义过滤器,避免XSS攻击SQL注入攻击自定义AOP配合redis解决重复提交问题自定义拦截器,拦截...
Spring-Reference_zh_CN(Spring中文参考手册)
06-06
13.4.3. 拦截器(HandlerInterceptor) 13.5. 视图与视图解析 13.5.1. 视图解析器 13.5.2. 视图解析链 13.5.3. 重定向(Rediret)到另一个视图 13.5.3.1. RedirectView 13.5.3.2. redirect:前缀 13.5.3.3. forward:...
Spring面试题
05-06
AOP 和 IOC 是补充性的技术,它们都运用模块化方式解决企业应用程序开发中的复杂问题。在典型的面向对象开发方式中,可能要将日志记录语句放在所有方法和 Java 类中才能实现日志功能。在 AOP 方式中,可以反过来将...
Spring中文帮助文档
08-05
13.4.3. 拦截器(HandlerInterceptor) 13.5. 视图与视图解析 13.5.1. 视图解析器(ViewResolver) 13.5.2. 视图解析链 13.5.3. 重定向(Rediret)到另一个视图 13.6. 本地化解析器 13.6.1. ...
spring 防止SQL注入拦截器
程序员石磊
05-25 2681
package org.jeecgframework.core.interceptors; import java.util.Enumeration; import java.util.List; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.apache.log4j.Logger; import org.jeecgframework.core
SpringBoot 如何防护 XSS 攻击 ??
Java知音
03-12 387
文章目录XSS跨站脚本攻击①:XSS漏洞介绍②:XSS漏洞分类③:防护建议SQL注入攻击①:SQL注入漏洞介绍②:防护建议SpringBoot中如何防止XSS攻击sql注入1. XSS跨站脚本攻击①:XSS漏洞介绍跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是...
web.xml配置全局过滤器防止SQL注入
小草的博客
08-23 947
Statement.executeUpdate(sql),没有使用PreparedStatement.executeUpdate(sql)生产有个老项目使用的是jsp+servlet写的,对安全方面几乎没有,对执行的sql使用的是。2)写sql的时候用PreparedStatement。1)配置全局过滤器,通过关键字匹配来拦截恶意请求。1.在web.xml中加入以下配置。本次使用的是配置全局过滤器。浏览器上直接访问项目。
springsql注入
w2011011228的博客
07-19 783
第三种方法是后台加Filter,对每个post请求的参数过滤一些关键字,替换成安全的,例如: ' " \ /  # &  方法是实现一个自定义的HttpServletRequestWrapper,然后在Filter里面调用它,替换掉getParameter函数即可。 首先添加一个XssHttpServletRequestWrapper: package com.ibm.web
Springboot配置XSS攻击&Sql注入(完整版)
Zhangmaoyang的博客
07-05 6166
Springboot配置防XSS攻击&Sql注入(含Post请求、跳过文件上传、跳过自定义路径)
java防止SQL注入
zwjzone的博客
03-10 1106
springboot使用$符号传参,防止sql注入
spring boot 自定义拦截器没进来
最新发布
09-05
Spring Boot自定义拦截器未生效时,可能由于以下原因: 1. 拦截器未被正确注册:确保自定义拦截器已经被添加到Spring Boot应用程序的配置中。可以通过在应用程序的@Configuration类中添加`@Bean`注解来注册拦截器。例如: ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new CustomInterceptor()); } } ``` 2. 拦截器配置顺序不正确:在注册多个拦截器时,拦截器的调用顺序很重要。可以通过`InterceptorRegistry`的`addInterceptor`方法的调用顺序来指定拦截器的执行顺序。例如: ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new CustomInterceptor1()).addPathPatterns("/*"); registry.addInterceptor(new CustomInterceptor2()).addPathPatterns("/*"); } } ``` 在上述示例中,`CustomInterceptor1`会在`CustomInterceptor2`之前被调用。 3. 拦截器的路径匹配不正确:确保拦截器的路径匹配规则与请求的路径匹配。例如,如果拦截器的路径匹配规则是`"/*"`,则该拦截器会拦截所有的请求。 如果上述方法都无法解决问题,可以通过调试或查看应用程序日志来进一步排查错误原因。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值