利用拦截器实现sql防止注入

最新推荐文章于 2024-08-11 19:48:42 发布
最新推荐文章于 2024-08-11 19:48:42 发布
阅读量1.1w 收藏 11
点赞数 1
分类专栏: 拦截器 文章标签: 拦截器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/an341221/article/details/79195861
版权
本文探讨了如何利用拦截器防止SQL注入,并解决了在Filter中注入Service时遇到的空指针异常问题。通过分析Filter的工作原理,提出了三种避免循环重定向的方法,并详细解释了获取ServletContext的途径。同时,文章建议使用Spring MVC的HandlerInterceptor来替代Filter,以更高效地管理拦截逻辑。
摘要由CSDN通过智能技术生成

web.xml的代码:

<!-- 防止sql注入的拦截器-->
    <filter>
        <filter-name>sqlInjectionFilter</filter-name>
        <filter-class>com.suning.mcms.web.auth.filter.SqlInjectionFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>sqlInjectionFilter</filter-name>
        <url-pattern>*.do</url-pattern>
    </filter-mapping>
拦截器的代码: 

package com.suning.mcms.web.auth.filter;

import java.io.IOException;
import java.util.Enumeration;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletContext;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.context.support.WebApplicationContextUtils;
import org.springframework.web.context.support.XmlWebApplicationContext;

import com.suning.mcms.web.auth.util.RedirectUtils;
import com.suning.zbl.SqlInjectionEntity;
import com.suning.zbl.injection.service.SqlInjectionService;

public class SqlInjectionFilter implements Filter{

	@Autowired
	private SqlInjectionService sqlInjectionService;

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {

	}

	@Override
	public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
			FilterChain filterChain) throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) servletRequest;  
		HttpServletResponse response = (HttpServletResponse) servletResponse;
		HttpSession session = request.getSession(false);



		HttpServletRequest req = (HttpServletRequest)request;
		HttpServletResponse resp = (HttpServletResponse)response;
		ServletContext sc = req.getSession().getServletContext();
		XmlWebApplicationContext cxt = (XmlWebApplicationContext)WebApplicationContextUtils.getWebApplicationContext(sc);

		if(cxt != null && cxt.getBean("sqlInjectionService") != null && sqlInjectionService == null)
			sqlInjectionService = (SqlInjectionService) cxt.getBean("sqlInjectionService");

		SqlInjectionEntity sqlInjectionEntity = new SqlInjectionEntity();
		sqlInjectionEntity.setKey("sqlInjection");
		SqlInjectionEntity result = sqlInjectionService.getSqlInjectionEntity(sqlInjectionEntity);
		if(result!=null){
			String currentURL = request.getRequestURI();
			String badStr = result.getValue();
			if(badStr!=null&&!badStr.trim().equals("")){
				if(!currentURL.equals("/mcms-portal/j_security_check.do")){
					Enumeration em = request.getParameterNames();
					while (em.hasMoreElements()) {
						String name = (String) em.nextElement();
						String value = request.getParameter(name);
						Pattern pattern = Pattern.compile(badStr);
						Matcher matcher = pattern.matcher(value.toLowerCase());
						boolean matches = matcher.matches();
						if(matches&&!value.trim().equals("")){
							sendRedirect(request, response, "/capital/allocation/sqlInjection.do");
							return;
						}
					}
				}else{
					Enumeration em = request.getParameterNames();
					while (em.hasMoreElements()) {
						String name = (String) em.nextElement();
						String value = request.getParameter(name);
						Pattern pattern = Pattern.compile(badStr);
						Matcher matcher = pattern.matcher(value.toLowerCase());
						boolean matches = matcher.matches();
						if(matches&&!value.trim().equals("")){
							sendRedirect(request, response, "/index.do");
							return;
						}

					}

				}
			}
		}
		filterChain.doFilter(request, response); 


	}


	protected void sendRedirect(HttpServletRequest request, HttpServletResponse response, String url)
			throws IOException {

		RedirectUtils.sendRedirect(request, response, url, false);
	}

	@Override
	public void destroy() {

	}

}


校验规则: 

INSERT INTO SYS_DIC_PARAM( PARAM_KEY, PARAM_VALUE)
VALUES( 'sqlInjection', '''|and|exec|execute|insert|select|delete|update|count|drop|\\*|%|chr|mid|master|truncate|char|declare|sitename|net user|xp_cmdshell|;|or|-|\\+|,|like''|and|exec|execute|insert|create|drop|table|from|grant|use|group_concat|column_name|information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|\\*|chr|mid|master|truncate|char|declare|or|;|-|--|\\+|,|like|//|/|%|#')




'|and|exec|execute|insert|select|delete|update|count|drop|\\*|%|chr|mid|master|truncate|char|declare|sitename|net user|xp_cmdshell|;|or|-|\\+|,|like'|and|exec|execute|insert|create|drop|table|from|grant|use|group_concat|column_name|information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|\\*|chr|mid|master|truncate|char|declare|or|;|-|--|\\+|,|like|//|/|%|#

Filter 也称之为过滤器,它是Servlet2.3以上新增加的一个功能,其技术是非常强大的。通过Filter技术可以对WEB服务器的文件进行拦截过滤,从而实现一些特殊的功能。在JSP开发应用中也是必备的技能之一。

    Filter可以改变一个request(请求)和修改一个response(响应

最低0.47元/天 解锁文章
欣赏月光
关注
专栏目录
java拦截器实现防止SQL注入与xss攻击拦截
WWXA
08-22 1万+
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面,要求输...
Java项目防止SQL注入的四种方案
tigerhhzz的博客
09-28 505
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列此时,数据库的数据都会被清空掉,后果非常严重。
SQL注入实战:mysql绕过
最新发布
moyuan_4s的博客
08-11 1217
(1)greatest(n1,n2,n3,...) //返回其中的最大值 (2)strcmp(str1,str2) //当str1=str2,返回0,当str1>str2,返回1,当str1
SpringBoot中如何防止XSS攻击和sql注入
2302_77596945的博客
05-23 1206
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
SpringCloud微服务实战——搭建企业级开发框架:微服务安全加固—自定义Gateway拦截器实现防止SQL注入/XSS攻击
qw_6918966011的博客
06-30 1626
SQL注入是常见的系统安全问题之一,用户通过特定方式向系统发送SQL脚本,可直接自定义操作系统数据库,如果系统没有对SQL注入进行拦截,那么用户甚至可以直接对数据库进行增删改查等操作。XSS全称为Cross Site Script跨站点脚本攻击,和SQL注入类似,都是通过特定方式向系统发送攻击脚本,对系统进行控制和侵害。SQL注入主要以攻击数据库来达到攻击系统的目的,而XSS则是以恶意执行前端脚本来攻击系统。
spring 防止SQL注入拦截器
程序员石磊
05-25 2773
package org.jeecgframework.core.interceptors; import java.util.Enumeration; import java.util.List; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.apache.log4j.Logger; import org.jeecgframework.core
SpringMVC利用拦截器防止SQL注入
weixin_30377461的博客
01-11 377
http://www.imooc.com/article/6137 转载于:https://www.cnblogs.com/diyunpeng/p/6273428.html
SpringBoot项目防止Sql注入拦截器
qq_29991719的博客
12-08 1617
防止Sql注入拦截器
java 过滤器filter防sql注入实现代码
09-01
本文将详细介绍如何使用Java Filter实现防止SQL注入的功能。 首先,我们需要创建一个实现了`javax.servlet.Filter`接口的类,例如名为`XSSFilter`。这个类将负责拦截请求并处理可能存在的SQL注入风险。下面是一个...
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt|Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt
09-05
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案 Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
在IIS SQL Server中利用ISAPI ReWrite防SQL注入攻击.pdf
09-19
吴长虹在其论文《在IIS+SQL Server中利用ISAPI Rewrite防SQL注入攻击》中,提出了一种有效的方法来应对这一挑战。这种方法主要是利用IIS的ISAPI(Internet Server Application Programming Interface)过滤器进行...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的...三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
Spring Cloud Gateway 实现XSS、SQL注入拦截
BUG指挥课堂
04-06 4556
创建Filter 实现GlobalFilter, Ordered @Slf4j @Component public class SqLinjectionFilter implements GlobalFilter, Ordered { @SneakyThrows @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain){ // grab config
spring3.0 MVC初步5-利用拦截器防止SQL注入
热门推荐
concen的专栏
11-23 1万+
一、定义拦截器实现HandlerInterceptor接口 public class SqlInjectIntercepter implements HandlerInterceptor {  @Override  public void afterCompletion(HttpServletRequest arg0,    HttpServletResponse arg1, Objec
防止SQL注入和XSS攻击Filter
u014704496的专栏
06-12 627
nbsp;今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞,下面的filter主要是解决防止SQL注入和XSS攻击 一个是Filter负责将请求的request包装一下。 一个是request包装器,负责过滤掉非法的字符。 将这个过滤器配置上以后,世界总算清净多了。。 代码如下: [java] view plaincopy im
spring中使用servlet拦截器实现防止sql注入
不断总结不断成长
01-16 2431
/**  * 描述:防止sql注入  * 作者: dlj  * 时间: 2018年1月16日 上午9:37:04  */ public class AntiSqlInjectionfilter implements Filter { private Logger logger = LoggerFactory.getLogger(AntiSqlInjectionfilter.class)
mapper sql注入检测拦截器
11-24
Mapper SQL注入检测拦截器是用于防止数据库SQL注入攻击的一种安全防护机制。它通过拦截并检测数据库操作中的参数,查询语句和条件等,来识别并阻止恶意的SQL注入攻击,保护数据库系统的安全。 该拦截器通常会对传入的参数进行严格的验证和过滤,确保输入的数据符合预期的格式和类型,避免恶意用户通过篡改输入参数来执行恶意的SQL语句。同时,该拦截器还会对数据库操作中的查询语句进行检测,识别是否存在潜在的SQL注入风险,并采取相应的防护措施,如拒绝执行恶意的SQL语句或者记录异常日志进行分析和追踪。 与此同时,Mapper SQL注入检测拦截器还可以根据具体的业务场景和安全需求,实现定制化的规则和策略,以增强对SQL注入攻击的防护能力。它可以结合黑白名单、正则表达式、特定关键词过滤等技术手段,对输入数据和SQL语句进行全面的检测和拦截,保障数据库系统的安全性和稳定性。 总之,Mapper SQL注入检测拦截器是数据库系统重要的安全防护工具,能够有效预防和阻止SQL注入攻击,保障数据库系统的安全运行。在实际应用中,开发人员应结合具体的业务场景和安全需求,充分利用拦截器提供的功能和特性,加强数据库系统的安全防护,确保信息的安全和可靠。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值