后端统一先拦下所有接口请求,再去解析请求的参数,判断是否包含SQL注入的关键词,没问题再进行转发。具体代码举例:
//获得所有请求参数名
Enumeration params = request.getParameterNames();
String sql = "";
while (params.hasMoreElements()) {
// 得到参数名
String name = params.nextElement().toString();
// 得到参数对应值
String[] value = request.getParameterValues(name);
for (int i = 0; i < value.length; i++) {
sql = sql + value[i];
}
}
//判断是否包含sql注入的关键词等
if (CommonUtils.sqlValidate(sql)) {
//记录IP地址 和攻击的接口方法
String ip = request.getHeader("X-Forwarded-For");
}
//SQL的关键词方法
protected static boolean sqlValidate(String str) {
//统一转为小写
str = str.toLowerCase();
// 过滤掉的sql关键字,可以手动添加
String badStr = "'|delete|drop";
String[] badStrs = badStr.split("\\|");
for (int i = 0; i < badStrs.length; i++) {
if (str.indexOf(badStrs[i]) >= 0) {
return true;
}
}
return false;
}