SpringBoot项目防止Sql注入

已于 2022-03-08 16:44:24 修改
阅读量6.5k 收藏 25
点赞数 6
分类专栏: SpringBoot Mysql 文章标签: spring boot sql java
于 2022-03-01 11:41:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aguai229/article/details/123201665
版权

由于我们的项目遭受了一次sql注入攻击,被批评的头破血流,马不停蹄安排起来。

首先,了解一下@WebFilter注解

@WebFilter 用于将一个类声明为过滤器,被@WebFilter注解的类,会在容器启动时被加载,并进行属性配置。具体的参数就不详细放出来了。initParams是该过滤器的初始化参数。

@Slf4j
@Component
@WebFilter(urlPatterns = "/*", filterName = "SQLInjection", initParams = { @WebInitParam(name = "regex", value = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|" +
        "(\\b(and|exec|execute|insert|select|delete|update|count|drop|%|chr|mid|master|truncate|char|declare|sitename|net user|xp_cmdshell|or|like'|and|exec|execute|insert|create|drop|table|from|grant|use|group_concat|column_name|information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|chr|mid|master|truncate|char|declare|or|--|like)\\b)") })
public class SqlInjectFilter implements Filter {
    private String regx;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.regx = filterConfig.getInitParameter("regex");
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) servletRequest;
        Map parametersMap = servletRequest.getParameterMap();
        Iterator it = parametersMap.entrySet().iterator();
        while (it.hasNext()) {
            Map.Entry entry = (Map.Entry) it.next();
            String[] value = (String[]) entry.getValue();
            for (int i = 0; i < value.length; i++) {
                if(null != value[i] && this.regx != null){
                    Pattern p = Pattern.compile(this.regx); Matcher m = p.matcher(value[i]);
                    if (m.find()) {
                        log.error("您输入的参数有非法字符,请输入正确的参数!");
                        servletRequest.setAttribute("err", "您输入的参数有非法字符,请输入正确的参数!");
                        servletRequest.setAttribute("pageUrl",req.getRequestURI());
                        servletRequest.getRequestDispatcher( "/error").forward(servletRequest, servletResponse);
                        return;
                    }
                }
            }
        }
        filterChain.doFilter(servletRequest, servletResponse);
    }

        @Override
        public void destroy() {

       }
}

顺便提一下Pattern
Pattern p = Pattern.compile(regex);  //编译正则表达式,并创建Pattern类。
Matcher m = p.matcher(s);  // 通过模式对象得到匹配器对象
boolean b= m.find(); // 通过对象的find方法就是查找有没有满足条件的子串

这里可以去看一下这篇文章,写的挺详细的。Java Pattern和Matcher字符匹配详解_知行流浪-CSDN博客_java pattern和matcher

最后,不能忘了启动类的注解!!!

@ServletComponentScan("xxx.xxx.xxx.filter")

在SpringBootApplication上使用@ServletComponentScan注解后,Filter、Listener可以直接通过@WebFilter、@WebListener注解自动注册。

告辞! 

一口八宝周
关注
专栏目录
springboot防止sql注入 & 防止sql攻击
jancislo的博客
06-28 1万+
1.编写  XssHttpServletRequestWrapperimport javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XssHttpServletRequestWrapper extends HttpServletReque...
7、springboot-防止sql注入
aunt_y的博客
05-25 4553
疫情大数据平台是一个公益的项目,但很可能被网络上大量的扫描器扫描,并有可能收到脚本的攻击,而进行防御就是很重要的,可以有效的避免我们被攻击。 本篇主要讲述防止sql注入部分 sql注入是什么 ​ SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。 ​ 而SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。 ​ 如Web应用程序的开发人员对用户所输入的数据或cooki
java springboot sql防注入的6种方式
qq_34874784的博客
08-24 4810
4. 使用ORM框架中提供的查询构造器(Query Builder):ORM框架通常提供查询构造器或查询构造API,这些API可以帮助我们构建数据库查询语句,而无需手动编写SQL语句。1. 参数绑定:通过使用参数绑定,将用户输入的数据作为参数传递给SQL语句,而不是将其直接拼接到SQL语句中。6. 使用安全的编码方式:在将用户输入插入到SQL语句中时,确保使用合适的编码方式进行转义,例如使用转义函数或参数化查询。5. 输入验证和过滤:对于用户输入的数据,应该进行验证和过滤,确保其符合预期的格式和类型。
SpringBoot和Mybatis框架怎么防止SQL注入
最新发布
qq_44574863的博客
09-06 559
对用户输入进行严格的校验,确保输入符合预期的格式。可以在前端或后端对输入进行校验,避免非预期的字符或格式进入 SQL 语句。配合使用 Spring Security 等框架提供的 SQL 注入防护机制,进一步增强应用的安全性。MyBatis 提供了安全构建 SQL 查询的方式,推荐使用动态 SQL 标签(如。这样可以避免手动拼接时带来的注入风险。在 MyBatis 中,使用。等)构建查询条件,而。
SpringBootSQL注入
孟美岐的博客
07-12 2033
新建XssHttpServletRequestWrapper import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; import java.util.HashMap; import java.util.HashSet; import java.util.Map; import java.util.Set;
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
springboot防止XSS攻击和sql注入
02-22 2104
springboot防止XSS攻击和sql注入
SpringBoot集成Mybatis实现简单的SQL注入(攻击)案例
12-14
(1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT ...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
springboot-防止sql注入,xss攻击,cros恶意访问
热门推荐
2010yhh
11-25 4万+
springboot-防止sql注入,xss攻击,cros恶意访问 文章目录springboot-防止sql注入,xss攻击,cros恶意访问1.sql注入2.xss攻击3.csrf/cros 完整代码下载链接: https://github.com/2010yhh/springBoot-demos.git 环境 idea2018,jdk1.8, springboot版本:springboot1...
Spring Boot实战:防范SQL注入攻击的综合策略与实例
kiingking的博客
07-13 448
Spring Boot防止SQL注入攻击涉及到几个关键步骤,主要是通过使用参数化查询、预编译语句、ORM框架以及输入验证和清理机制。
Springboot集成防sql注入设置
hao_kkkkk的专栏
10-21 3335
sql注入 安全开发 springboot
SpringBoot中如何防止XSS攻击和sql注入
2302_77596945的博客
05-23 1395
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
weixin_44421461的博客
05-16 381
????这是一个或许对你有用的社群????一对一交流/面试小册/简历优化/求职解惑,欢迎加入「芋道快速开发平台」知识星球。下面是星球提供的部分资料:《项目实战(视频)》:从书中学,往事中“练”《互联网高频面试题》:面朝简历学习,春暖花开《架构 x 系统设计》:摧枯拉朽,掌控面试高频场景题《精进 Java 学习指南》:系统学习,互联网主流技术栈《必读 Java 源码专栏》:知其然,知其所以然????这是一个或许...
springboot项目防止XSS攻击和sql注入
yy1209357299的博客
02-07 3640
springboot项目防止XSS攻击和sql注入
搭建大型分布式服务(二十)SpringBoot 如何防止SQL注入
hanyi_的专栏
06-22 1345
系列文章目录 文章目录系列文章目录前言一、本文要点二、开发环境三、创建项目四、自定义校验五、测试一下六、小结 前言 群里有个小伙伴提问,SpringBoot项目怎样做参数校验,防止SQL注入?改动尽量少,高灵活,因为并不是每个参数有需要校验的。 一、本文要点 接前文,我们介绍了如何做spring拓展,轻松面对面试官的提问了。本文介绍如何自定义参数校验,保护我们的系统,避免各种参数问题。系列文章完整目录 springboot 自定义校验参数 springboot 自定义校验规则 spri
Springboot使用CrosXssFilter防止sql注入xss攻击cros跨域等
冰之杍的博客
12-07 1297
Springboot使用CrosXssFilter防止sql注入xss攻击cros跨域等1.编写CrosXssFilter.java,代码如下2.在springbooot的启动类中加入注解@ServletComponentScan 现在的web系统对安全性要求越来越高,常常需要通过第三方的渗透测试才能进行验收,其中就有关于sql注入、xss攻击相关的,此文记录如果在springbooot中进行非侵入的改造,达到能通过sql注入及xss攻击测试的目的。 1.编写CrosXssFilter.java,代码如下
springboot防止sql注入
05-21
Spring Boot本身并没有提供防止SQL注入的解决方案,但我们可以采取一些措施来避免SQL注入问题: 1. 使用PreparedStatement代替Statement。PreparedStatement预编译SQL语句并且对输入参数进行类型检查,从而有效地...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值