安全(1) : 防SQL攻击[1] : springboot定义切面过滤请求参数

最新推荐文章于 2024-07-13 11:12:35 发布
最新推荐文章于 2024-07-13 11:12:35 发布
阅读量613 收藏
点赞数
分类专栏: 安全 文章标签: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lxinccode/article/details/102960116
版权

参考 : 

    spring boot使用切面对HTTP传入的参数做防sql和非法字符串检测_Ripley的博客-CSDN博客_springboot校验参数是否包含sql注入

    项目中配置防止sql注入(springboot)_cyq_java的博客-CSDN博客_springbootsql注入 


import com.aliyun.et.industry.pangang.api.exception.PangangException;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;

@Component
@Aspect
public class PreventSQLAttack {

    private static final Logger LOGGER = LoggerFactory.getLogger(PreventSQLAttack.class);

    private static final String badStr = " update | and | or | delete | insert | trancate | char | into | substr | ascii | declare | exec | count | master | drop | execute |'|(|)";


    private static final String[] badStrs = badStr.split("\\|");

    private static final String REQUEST_PARAMETER_ILLEGAL = "请求参数非法";

    /**
     * 定义切入点:拦截controller层所有方法
     */
    @Pointcut("execution(* cn.nordrassil.web.controller..*(..))")
    public void other() {
    }

    /**
     * 定义环绕通知
     *
     * @param joinPoint
     * @throws Throwable
     */
    @Around("other()")
    public Object other(ProceedingJoinPoint joinPoint) throws Throwable {
        try {
            ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
            HttpServletRequest request = attributes.getRequest();
            Object[] args = joinPoint.getArgs();
            for (Object arg : args) {
                for (String str : badStrs) {
                    if (arg.toString().indexOf(str) != -1) {
                        LOGGER.error(REQUEST_PARAMETER_ILLEGAL + "接口路径: " + request.getRequestURL());
                        throw new RuntimeException(REQUEST_PARAMETER_ILLEGAL);
                    }
                }
            }
            Object result = joinPoint.proceed();
            return result;
        } catch (PangangException e) {
            throw new PangangException(e.getpangangResultCodeEnum());
        } catch (Exception e) {
            Object result = joinPoint.proceed();
            return result;
        }

    }

}

END。

Lxinccode
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合XssFilter,Jsoup等实现请求参数过滤,处理Xss攻击sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数过滤,处理Xss攻击sql注入.zip
Request Validation - 止脚本攻击
Blackcat1212的博客
07-08 334
A new ASP.NET version 1.1 feature, request validation, prevents the server from accepting content containing un-encoded HTML. This feature is designed to help prevent some script-injection attack...
Spring Boot实战:SQL注入攻击的综合策略与实例
最新发布
kiingking的博客
07-13 291
在Spring Boot中SQL注入攻击涉及到几个关键步骤,主要是通过使用参数化查询、预编译语句、ORM框架以及输入验证和清理机制。
SpringBoot设置Filter过滤请求参数
weixin_33978044的博客
08-10 726
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring AOP切面注解类应用实例:请求入参参数特殊字符过滤、日志切面
weixin_41761540的博客
05-08 1291
一:请求入参参数特殊字符过滤 对接平安银行等第三方接口的时候,接口入参不能包含某些字符串,但是不能做过滤器,过滤器影响面过广。 1、自定义注解 package fly.cloud.bank.annotation; import java.lang.annotation.*; @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface ParamReplace { }
Spring Boot使用HandlerInterceptorAdapter和WebMvcConfigurerAdapter实现原始的登录验证
angou6476的博客
10-25 203
HandlerInterceptorAdapter的介绍:http://www.cnblogs.com/EasonJim/p/7704740.html,相当于一个Filter拦截器,但是这个颗粒度更细,能使用Spring的@Autowired注入。 WebMvcConfigurerAdapter的介绍:http://www.cnblogs.com/EasonJim/p/7720095....
springboot demo
09-05
通过@Aspect注解定义切面,@Before、@After、@Around等注解定义切面的行为。 【Redis集成】 Redis是一个高性能的键值存储系统,常用于缓存、消息队列等场景。SpringBoot提供了对Redis的简单集成,通过配置可以轻松...
毕设项目:基于springboot+ssm+swagger前后端分离的咨询管理系统.zip
08-14
**SSM** 框架组合了Spring、SpringMVC和MyBatis三个组件,Spring作为核心容器,负责依赖注入(DI)和面向切面编程(AOP);SpringMVC是Spring的Web MVC框架,处理HTTP请求;MyBatis是一个优秀的持久层框架,它支持...
springboot+ssm+shiro
01-09
SSM是Spring、SpringMVC和MyBatis的组合,这三大组件分别是:Spring作为整个应用的IoC(Inversion of Control,控制反转)和AOP(Aspect-Oriented Programming,面向切面编程)容器;SpringMVC作为Spring的Web MVC...
基于springboot图书个性化推荐系统.zip
04-05
SSM是Java Web开发中的经典组合,Spring负责控制反转和面向切面编程,SpringMVC处理HTTP请求并转发到对应的业务逻辑,MyBatis则作为持久层框架,实现了SQL语句与Java代码的解耦。在本系统中,SSM可能用于处理数据库...
基于ssm协同过滤算法的电影推荐系统.zip
03-21
Spring提供依赖注入和AOP(面向切面编程),SpringMVC处理HTTP请求和响应,MyBatis则用于持久化操作,将Java对象与SQL语句关联起来。 5. **微信小程序**:这表明项目可能还包括了一个微信小程序的前端界面,用户可以...
Spring Security内置过滤器详解_springsecurity过滤器,2024年最新大数据开发开发入门教程
2401_84166896的博客
04-17 1090
/设置SecurityContextHolderStrategy context。//当前请求是否是logoutSuccessUrl指定的地址。//是否是登录请求,是否是重定向的错误请求,是否是登出地址。//该请求已经运行过该过滤,跳过,执行下一个过滤器。//当前请求是否是failureUrl指定的地址。//生成一个默认的登录页。//否则执行下一个过滤器。//地址是/logout。//获取当前的权限配置。//生成一个登出页面。
java+aop+参数名称_Spring AOP获取拦截方法的参数名称跟参数
weixin_42166626的博客
02-25 1068
Spring AOP获取拦截方法的参数名称跟参数值注意:这种方式需要JDK1.8版本支持开始:1.aop配置: 注意该配置需要配置在spring mvc的配置文件中,因为需要拦截controller层方法或者在必须要配置在spring配置文件中的情况下,同时需要拦截controller层的方法,可以在spring配置文件中加入controller层的包扫描2.具体代码:import org.apa...
aop拦截所有请求并打印请求方法参数
蓝影灵的博客
07-07 469
aop拦截所有请求并打印请求方法参数
SpringBoot 实现过滤器拦截请求
记录工作开发中遇到的技术难点,方便自己查看,也希望可以帮助到他人...
08-26 2459
用户在前端登录,后端将用户信息存储在session中,通过拦截每个接口请求,判断用户是否登录,若session中存在用户信息,则放行请求,若session中不存在用户信息,则拦截请求
Springboot使用CrosXssFiltersql注入xss攻击cros跨域等
冰之杍的博客
12-07 1259
Springboot使用CrosXssFiltersql注入xss攻击cros跨域等1.编写CrosXssFilter.java,代码如下2.在springbooot的启动类中加入注解@ServletComponentScan 现在的web系统对安全性要求越来越高,常常需要通过第三方的渗透测试才能进行验收,其中就有关于sql注入、xss攻击相关的,此文记录如果在springbooot中进行非侵入的改造,达到能通过sql注入及xss攻击测试的目的。 1.编写CrosXssFilter.java,代码如下
SpringBoot项目Sql注入拦截器
qq_29991719的博客
12-08 1571
Sql注入拦截器
基于springboot实现SQL注入过滤
zhangbeizhen18的博客
06-11 2786
记录:273 场景:以过滤器(Filter)的方式,对所有http请求的入参拦截,使用正则表达式匹配入参中的字符串。存在SQL注入风险的参数,中断请求,并立即返回提示信息。不存在SQL注入风险的参数,校验通过后,放入过滤器链,继续后续业务。......
Web安全编程规范:SQL注入与XSS攻击
"SQL注入和XSS跨站攻击安全规范1" SQL注入和XSS跨站攻击是两种常见的网络安全威胁,主要源于开发过程中对用户输入数据处理不当。此文档旨在为开发人员提供关于如何范这两种攻击安全编码规范。 一、SQL注入攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值