SQL注入漏洞-Java 解决方法(一)过滤器

已于 2022-04-12 22:17:42 修改
阅读量3k 收藏 1
点赞数 3
分类专栏: SQL注入漏洞-Java 文章标签: filter java
于 2020-07-30 18:10:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zxdwr520/article/details/107696181
版权

这个是常见的漏洞了,相信大家都不会陌生,直接上解决该漏洞的代码 (第二种方法也可以使用AOP

解决SQL注入漏洞方法(二)使用AOP解决_Zxdwr520的博客-CSDN博客

package com.ifan.soft.filter;

import java.io.IOException;
import java.text.SimpleDateFormat;
import java.util.Date;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import org.apache.log4j.Logger;

/**
 * 关注博主,获取更多解决漏洞的办法
 * @author fan'fan
 *
 */

public class MyFilter implements Filter {
    
    private static SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
    private static final Logger log = Logger.getLogger(MyFilter.class);

/**

*关注博主,获取更多解决漏洞的办法

*/   

 public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        String url = request.getRequestURI();
        log.info("---当前URL:" + url + "--当前时间" + sdf.format(new Date()));
        String[] strings = {//根据需要来定义
                "from","count","chr","master","truncate","declare","drop","all","all",
                "and","AND","MASTER","COUNT","FROM","DROP","order","to","TO","ALL","alter","ALTER",
                "OR","or","select","DECLARE","EXEC","ORDER","in","IN","on","ON",
                "SELECT","UPDATE","TRUNCATE","exec","GROUP","HAVING","DELETE","like","LIKE",
                "delete","update","insert","group","having","<",">","^","*","\'","!"," ","-","@","$","#",
                "(",")","_","~","`","{","}","[","]","\"","|","?",",","。","《","》","(",")","!",
                "、","——",";","‘","¥","’","【","】",":","&"
                };
            for (String string : strings) {
                String upperCaseURL = url.toUpperCase();
                String upperCaseStr = string.toUpperCase();
                if (upperCaseURL.indexOf(upperCaseStr) >= 0) {
                    request.getRequestDispatcher("/uc/error").forward(req, resp);//如有注入的关键字或字符则去到错误的页面,不在往下执行
                    return ;
                }

//该方法能解决大部分的SQL注入漏洞了,如还需要完整的解决SQL注入漏洞可以关注博主留言
        }
        chain.doFilter(req, resp);
    }
    
    public void init(FilterConfig filterConfig) throws ServletException {
    }
 
    public void destroy() {
    }
}

/**在web.xml中添加*/



<filter>
        <filter-name>MyFilter </filter-name>
        <filter-class>com.ifan.soft.filter.MyFilter </filter-class>
    </filter>

    <filter-mapping>
        <filter-name>MyFilter </filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

Zxdwr520
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java sql过滤_Java 防SQL注入过滤器(拦截器)代码
weixin_33648352的博客
02-20 1932
原文出自:https://blog.csdn.net/seesun2012html前言浅谈SQL注入:所谓SQL注入,就是经过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,达到必定的非法用途。java解决办法一、配置WEB-INF/web.xmlwebindex.htmlSqlInjectFiltercom.seesun2012.web....
SQL注入过滤工具类-Java
分享·收获
04-23 2167
import java.util.HashMap; import java.util.Map; import java.util.regex.Matcher; import java.util.regex.Pattern; import org.apache.commons.lang3.StringUtils; import org.slf4j.Logger; import org.slf4j...
Java 过滤器解决URLSQL注入漏洞、跨站漏洞、框架注入漏洞、链接注入漏洞
SuperstarSteven的博客
08-16 6234
一、 漏洞描述 1. 检测到目标URL存在SQL注入漏洞 很多WEB应用中都存在SQL注入漏洞SQL注入是一种攻击者利用代码缺陷进行攻击的方式,可在任何能够影响数据库查询的应用程序参数中利用。例如url本身的参数、post数据或cookie值。 2.检测到目标URL存在跨站漏洞 跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息或在终端用户系统上执行恶意代码
JSP使用过滤器防止SQL注入的简单实现
01-08
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1]  比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击. SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程
Java 项目防止 SQL 注入的四种方案
最新发布
qq_32885471的博客
06-06 503
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重。
SQL注入修复、XSS漏洞 过滤器及Cookie劫持攻击
qq_43420577的博客
05-29 825
然后在WEB.XML里面配置。一、解决sql注入问题。三、cookie劫持。
过滤器实现全局防SQL注入
ACGkaka的博客
10-28 4376
目录SqlInjectFilter.javaMyRequestWrapper.java 场景: 公司渗透测试,发现了输入框有SQL注入风险,于是进行修改。 解决方案: 增加全局过滤器,对请求参数中存在SQL过滤器的参数进行提示,主要增加了两个类: SqlInjectFilter,过滤器; MyRequestWrapper,用于过滤器中获取POST请求参数。 SqlInjectFilter.java import com.alibaba.fastjson.JSONObject; import com.
代码审计 | SQL注入过滤器绕过
hackzkaq的博客
11-06 220
FILTER_VALIDATE_EMAIL过滤器不允许在邮件地址中出现空格符号,可以使用/**/来代替。在进行数据库操作时,需要使用PDO预处理的方式,防止SQL注入漏洞的产生。在示例代码中,用户输入的参数被直接用于执行SQL查询操作,这种方式存在潜在的安全风险。尽管代码中使用了过滤器进行过滤,但这种方式依然不足以防止攻击者绕过过滤器,从而导致SQL注入漏洞。RFC不是非常严格,允许使用许多特殊字符。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
Java使用过滤器防止XSS脚本注入
踮脚敲代码
12-17 6536
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
java防sql注入攻击过滤器
08-09
为了解决这个问题,Java中的防SQL注入过滤器可以在数据进入数据库之前对用户输入进行检查和清理。这个过滤器通常是一个实现了Servlet Filter接口的类,会在HTTP请求到达目标Servlet之前对其进行拦截和处理。 以下是...
SQL注入过滤 (Java版)
11-17
SQL 安全注入漏洞过滤器类 Java实现 Java类实现,以及配置文件web.xml
java-sql-inspector:用于测试Java代码是否存在SQL注入漏洞的实用程序
02-17
Java SQL Inspector是一款强大的工具,专为检测Java代码中的SQL注入漏洞而设计。SQL注入是一种常见的安全威胁,攻击者可以通过在输入字段中插入恶意SQL代码来操纵数据库查询,从而获取敏感信息、修改数据甚至完全...
有效防止SQL注入的5种方法总结
09-09
遵循OWASP(Open Web Application Security Project)提供的指南,定期更新软件,避免使用已知有漏洞的库和组件,保持代码审计,及时修复任何发现的SQL注入漏洞。 通过上述方法,可以显著提高应用程序的防护能力,...
java拦截器实现防止SQL注入与xss攻击拦截
热门推荐
WWXA
08-22 1万+
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面,要求输...
xss攻击字符过滤器 Java_使用Filter过滤器解决XSS跨脚本攻击和SQL注入问题
weixin_28839601的博客
02-24 992
在JAVA开发工程中难免会出现XSS和SQL注入漏洞,这些问题的产生都是由于url中带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。第一步:自定义filter过滤器.public class XSSFilter extends OncePerRequestFilter {private String exclude = null...
springboot自带filter实现sql注入过滤器
leveretz的博客
12-29 2464
springboot自带filter实现sql注入过滤器
解决存储型xss和sql注入漏洞,创建对应的全局过滤器
apple_pingwan的博客
01-13 2715
解决存储型xss和sql注入漏洞,创建对应的全局过滤器
防止sql注入过滤器
qq_32512945的博客
05-23 1369
package com.tgisserver.cloud.jpamanager.common.filter; import java.io.IOException; import java.util.Enumeration; import java.util.regex.Matcher; import java.util.regex.Pattern; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.ser
Java Web安全编程规范:防止漏洞与风险
- 防范元字符攻击:对可能导致SQL注入或其他注入攻击的元字符进行特殊处理。 4. 数据库连接安全: - 参数化SQL:使用预编译的SQL语句,防止SQL注入。 - 不信任数据库数据:假设所有从数据库获取的数据都可能是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值