JSP过滤器防止SQL注入

最新推荐文章于 2023-09-05 12:44:54 发布
最新推荐文章于 2023-09-05 12:44:54 发布
阅读量4.2k 收藏 2
点赞数 3
分类专栏: Web 前端 JAVA沉思录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smile_7x/article/details/19169715
版权

  SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏

忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。

filter功能.它使用户可以改变一个 request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够

在一个request到达servlet之前预处理request,也可以在离开 servlet时处理response.换种说法,filter其实是一个”servlet

chaining”(servlet 链). 所以用户发出的任何request都必然经过filter处理,我们就在filter处理用户request包含的敏感关

键字,然后replace掉或是让页面转到错误页来提示用户,这样就可以很好的防sql注入了。

具体代码:

SqlFilter.java

package com.xyl.filter;

import java.io.IOException;
import java.util.Enumeration;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
* 过滤sql关键字的Filter
* @author

*/
public class SqlFilter implements Filter {

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        //获得所有请求参数名
        Enumeration params = req.getParameterNames();

        String sql = "";
        while (params.hasMoreElements()) {
            //得到参数名
            String name = params.nextElement().toString();
            //System.out.println("name===========================" + name + "--");
            //得到参数对应值
            String[] value = req.getParameterValues(name);
            for (int i = 0; i < value.length; i++) {
                sql = sql + value[i];
            }
        }
        //System.out.println("============================SQL"+sql);
        //有sql关键字,跳转到error.html
        if (sqlValidate(sql)) {
            res.sendRedirect("error.html");
            //String ip = req.getRemoteAddr();
        } else {
            chain.doFilter(req, res);
        }
    }

    //效验
    protected static boolean sqlValidate(String str) {
        str = str.toLowerCase();//统一转为小写
        String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like";
        String badStr = "'|and|exec|execute|insert|create|drop|table|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字,可以手动添加
        String[] badStrs = badStr.split("|");
        for (int i = 0; i < badStrs.length; i++) {
            if (str.indexOf(badStrs[i]) !=-1) {
                return true;
            }
        }
        return false;
    }

    public void init(FilterConfig filterConfig) throws ServletException {
        //throw new UnsupportedOperationException("Not supported yet.");
    }

    public void destroy() {
        //throw new UnsupportedOperationException("Not supported yet.");
    }
}



在web.xml中的配置: 

<!-- sql Filter -->
     <filter>
        <filter-name>SqlFilter</filter-name>
        <filter-class>com.xyl.filter.SqlFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>SqlFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>


Smile_7x
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JSP使用过滤器防止SQL注入的简单实现
10-21
下面小编就为大家带来一篇JSP使用过滤器防止SQL注入的简单实现。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
JSP使用过滤器防止Xss漏洞
01-08
针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。 那就是利用Servlet的过滤器机制,编写定制的Xss
防止sql注入过滤器
qq_32512945的博客
05-23 1336
package com.tgisserver.cloud.jpamanager.common.filter; import java.io.IOException; import java.util.Enumeration; import java.util.regex.Matcher; import java.util.regex.Pattern; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.ser
过滤器实现全局防SQL注入
ACGkaka的博客
10-28 3801
目录SqlInjectFilter.javaMyRequestWrapper.java 场景: 公司渗透测试,发现了输入框有SQL注入风险,于是进行修改。 解决方案: 增加全局过滤器,对请求参数中存在SQL过滤器的参数进行提示,主要增加了两个类: SqlInjectFilter,过滤器; MyRequestWrapper,用于过滤器中获取POST请求参数。 SqlInjectFilter.java import com.alibaba.fastjson.JSONObject; import com.
springboot自带filter实现sql防注入过滤器
leveretz的博客
12-29 2313
springboot自带filter实现sql防注入过滤器
SQL注入过滤器
barret的博客
08-04 326
一个防SQL注入过滤器
JSP过滤器防止Xss漏洞的实现方法(分享)
01-08
针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。 那就是利用Servlet的过滤器机制,编写定制的XssF
springboot防sql注入过滤器研发踩坑总结 - HTTP请求的输入流只能读取一次导致的Required request body is missing异常的解决方案
qq_41980872的博客
07-18 412
这篇文章总结了一次防Sql注入过滤器开发过程中踩过的坑。包括HTTP请求的输入流只能读取一次导致的Required request body is missing异常的解决方案,以及以深度优先遍历方式获取JSON字符串中每一个字段的值的方式。积累经验,日拱一卒,希望能成为更好的自己~
防止SQL注入的四种方案
dehuisun的专栏
09-05 8332
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
SQL注入修复、XSS漏洞 过滤器及Cookie劫持攻击
qq_43420577的博客
05-29 771
然后在WEB.XML里面配置。一、解决sql注入问题。三、cookie劫持。
解决存储型xss和sql注入漏洞,创建对应的全局过滤器
apple_pingwan的博客
01-13 2570
解决存储型xss和sql注入漏洞,创建对应的全局过滤器
三、servlet防止sql注入漏洞
tianyejun6的博客
12-31 2332
一、经常出现漏洞的sql语句 用户名和密码 一起同时查询。select * from users where username=‘abc’ and passwd=‘123’ or 1=‘1’ 二、正确的sql语句先查询数据库根据用户名查询密码,如果存在改用户名,再看密码是否相同。 "select passwd from users where username='" + name + "' limi
Flink SQL·validate
yangguanghaozi的专栏
01-09 1511
核心概念 SqlValidator 验证 SQL 语句的解析树,并提供有关解析树的语义信息。 初始化实例: SqlValidatorUtil#newValidator 采用访问者模式执行validate。比如SqlLiteral#validate(SqlValidator, SqlValidatorScope)调用#validateLiteral(org.apache.calcite.sql.SqlLiteral)SqlCall#validate(SqlValidator, SqlValidat..
Java防止SQL注入(通过Filter过滤器功能进行拦截)
qq_37272886的博客
05-18 6231
前言 contentType=multipart/form-data的header以文件流的的形式上传文件时,如果代码中使用了Filter,会出现无法用Filter 中用ServletRequest.getParameter 方法取不到一并提交上来的参数 multipart/form-data格式: package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import java.
SQL注入正则拦截器
wcy1900353090的博客
03-25 2390
private static final Pattern PATTERN = Pattern.compile("\\b(\\s*and\\s*|\\s*exec\\s*|\\s*insert\\s*|\\s*select\\s*|\\s*drop\\s*|\\s*grant\\s*|\\s*alter\\s*|\\s*" + "delete\\s*|\\s*update\\s*|\\s*count\\s*|\\s*chr\\s*|\\s*mid\\s*|\\s*master...
springboot自带filter实现sql防注入过滤器,可以全路径也可以自己设置过滤路径,还可以在全路径的时候选择放行某些路径不过滤。
qimingzhennan_to的博客
08-15 2432
springboot自带filter实现sql防注入过滤器,可以全路径也可以自己设置过滤路径,还可以在全路径的时候选择放行某些路径不过滤。
Java防止SQL注入的一些途径
主题模板站的博客
01-31 2202
java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。35 //TODO这里发现sql注入代码的业务逻辑代码。
5种方法防止 jspsql注入
收集盒 Book box
09-22 6300
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
Java 过滤器解决URLSQL注入漏洞、跨站漏洞、框架注入漏洞、链接注入漏洞
SuperstarSteven的博客
08-16 5948
一、 漏洞描述 1. 检测到目标URL存在SQL注入漏洞 很多WEB应用中都存在SQL注入漏洞。SQL注入是一种攻击者利用代码缺陷进行攻击的方式,可在任何能够影响数据库查询的应用程序参数中利用。例如url本身的参数、post数据或cookie值。 2.检测到目标URL存在跨站漏洞 跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息或在终端用户系统上执行恶意代码
sql注入_万户oa_documentedit.jsp
最新发布
01-21
SQL注入是一种常见的安全漏洞攻击方式,它是指...总之,针对万户OA系统中的documentedit.jsp页面,我们需要加强输入验证和过滤,使用参数化查询,限制数据库用户权限,以及及时更新和维护数据库,以防止SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值