jsp参数过滤防注入的解决方法

最新推荐文章于 2023-03-02 16:50:50 发布
最新推荐文章于 2023-03-02 16:50:50 发布
阅读量333 收藏
点赞数
分类专栏: java错误之路 文章标签: JSP SQL
首先注入的类型分为参数数字型注入,参数字浮型注入,搜索框注入三种。
防注入的方法
1)参数过滤。
2)sql语句添加参数用占位符。

[code]public static boolean sql_inj(String str)
{
String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
String inj_stra[] = split(inj_str,"|");
for (int i=0 ; i < inj_stra.length ; i++ )
{
if (str.indexOf(inj_stra)>=0)
{
return true;
}
}
return false;
}

jsp中调用该函数检查是否包函非法字符
<%
if(request.getParameter("userID") != null)
userID = request.getParameter("userID").trim();

if (StringUtil.sql_inj(userID) || StringUtil.sql_inj(pwd)){
%>
<Script Language=javascript>alert('参数中包含非法字符!');history.back(-1);</Script>" ;
<%
}else{
……
}%>[/code]
bio_progamme
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSP使用过滤止SQL注入的简单实现
01-08
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终...SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程
jsp给前端注入值失败_原创:JSP超强Filter,在提交表单中注入攻击+过滤HTML标签+过滤javascript...
weixin_39611722的博客
12-22 341
转载请注明转载自:http://hi.baidu.com/liheyuan87/SQL注入已经延伸到了JSP……所以我们必须提高警惕,本类可以对表单提交数据中(POST)的注入攻击做有效的范,也可以对部分Get中的攻击做范。并且自动过滤html标签和js代码。自动解决mysql入库时候单引号,双引号导致SQL语句出错的问题。OK。切入正文。现来使用方法1、把类拷贝到filters包下2、在we...
SQL注入
weixin_44693449的博客
10-28 415
SQL 止SQL注入的五种方法 一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面...
Java项目止SQL注入的方式总结
睡竹的博客
03-02 9522
Java项目止SQL注入的方式总结 springboot配置请求过滤止SQL注入 nginx止SQL注入 mybatis止SQL注入
两个jsp页面跳转携带参数时${param.参数}的使用
zhiyao998的博客
11-02 2134
当一个a.jsp页面直接跳转到另一个b.jsp页面想要传递参数时可以使用${param.参数}在b.jsp页面中拿到传递的参数,这个参数可以支持多种跳转方式,例如: <a href="b.jsp?id=11">b.jsp</a> 或者js的方式: window.location.href="b.jsp?id=11"; 或者其他方式的跳转都可以在b.jsp页面中通过${param.id}的方式获取到参数11; 同时这个参数不属于任何一个域,所以需要通过${param.参数
EL表达式
顺其自然~专栏
09-22 308
以MVC模式设计程序,JSP只是视图,视图的任务就是显示响应,而不是在JSP中做任何关于程序控制和业务逻辑的事情。所以在JSP页面中应该尽可能少的、或者是完全不出现Java代码。 在使用JSP标准动作操作 JavaBean时,如果JavaBean的属性是 String类型或者基本类型,则能够实现类型的自动转换,如 JavaBean的属性从String类型可自动转换成int类型。如果 Javabean中的属性不是 String类型和基本类型,而是一个 Object类型,并且属性还有自己的属性,如何获得此 O
JSP Struts过滤xss攻击的解决办法
10-19
**JSP Struts过滤XSS攻击的解决办法** 在Web应用程序开发中,XSS(Cross Site Scripting)攻击是一种常见的安全威胁,它允许攻击者在用户的浏览器中注入恶意脚本,从而盗取用户数据或执行其他恶意操作。JSP与Struts...
JSP过滤止Xss漏洞的实现方法(分享)
01-08
针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。 那就是利用Servlet的过滤器机制,编写定制的XssF
JSP使用过滤止Xss漏洞
10-17
`XssHttpServletRequestWrapper`覆盖了`getParameter()`和`getHeader()`方法,对所有参数名和参数值进行XSS过滤。在`XssHttpServletRequestWrapper`中,我们调用`xssEncode()`方法参数进行编码,确保潜在的危险...
日志整理4-PreparedStatement的优点
06-18 920
在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement.基于以下的原因:一.代码的可读性和可维护性.虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:stmt.e
止html脚本注入的脚本
04-17
NULL 博文链接:https://username2.iteye.com/blog/1826071
jsp过滤解决乱码
zhuhuidong的地盘!
07-30 771
(1)前言: 解决web程序的国际化问题,必须在任何地方使用UTF-8对字符进行编码。(包括:数据库设置为:UTF-8,web页面也要设置为:UTF-8) 这样做的好处在于可以解决在web上不止中文字符编码问题,所有的字符编码都统一使用UTF-8,实现了语言的国际化。同时在保
java参数统一过滤,Java:在过滤方法时替换参数的子类/子类型?
weixin_33334733的博客
02-28 100
So I asked this question before but I had a mistake in the code which most people picked up on, rather than the problem itself.Anyway, I'm trying to override an interface method in a class. However, I...
止js注入
daijiangping的博客
11-05 481
1.如果是jsp页面可以用jstl: 2.如果是ajax可以这样:var html="alert('asdfasdf')";  $("#content").text(html);
jsp自定义alert
meixi_android的博客
01-02 2179
普通alert  alert(data.msg); 自定义alert 1、创建弹出框div  &lt;!--弹出框---------------------------&gt;            &lt;div id="alert_div" align="center"&gt;                    &lt;div align="left"&gt;操作提示&lt;/
JSP中的过滤器详解
KaiFa_XiaoYang的博客
12-29 2177
1.过滤器的概念和作用 1.概念: 过滤器位于客户端和web应用程序之间,用于检查和修改两者之间流过的请求; 在请求到达Servlet/JSP之前,过滤器截获请求; 2.作用:在客户端的请求访问后端资源之前,拦截这些请求(添加处理)。 2.过滤器相关的API 1.Servlet API(javaEE)中,与过滤器有关的API共有三个接口,分别是: Filter; FilterChain; FilterConfig。 3.Filter接口 1.Filter接口是过滤器类必须实现的接口,该接
通过HttpModule实现数据库注入
S.Sams`s Blog
04-18 1837
昨天刚把数据库注入的原型发了上去,发觉好像还漏了点东西,现在把它全部补上.Sql注入是常常被一些菜鸟级黑客高手惯用的手法, 就是基于Sql的注入实现, 注入程序其实就是处理Http请求,把Get和Post的请求数据中做过滤.通过相应的关键字去识别是否有 Sql注入攻击代码  string SqlStr = "and |exec |insert |select |delete |upda
mysql 注入方法_Mysql常用的注入方法 | 极安全-JiSec
weixin_35947010的博客
01-18 642
1.简单sql注入简述:所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。magic_quotes_gpc的一点认识以及addslashesaddcslashes区别:1、条件:magi...
sql注入_万户oa_documentedit.jsp
最新发布
01-21
SQL注入是一种常见的安全漏洞攻击方式,它是指攻击者通过在应用程序的输入字段中插入恶意的SQL代码,以获取或篡改数据库中的数据。在万户OA系统的documentedit.jsp页面中,如果未对用户输入进行正确的过滤和验证,可能存在SQL注入漏洞。 攻击者可以通过在输入字段中输入恶意的SQL语句,来实施SQL注入攻击。例如,攻击者可以通过在输入字段中输入'; DROP TABLE table_name; --'来删除数据库中的表。 为了止SQL注入攻击,我们可以采取以下措施: 1. 输入验证和过滤:对用户输入进行严格的验证和过滤,只允许特定的字符或特定的输入格式。可以使用正则表达式、白名单过滤等方式来限制输入格式。 2. 参数化查询:使用参数化的SQL查询语句,而不是拼接字符串的方式来构建查询语句。参数化查询可以有效地止SQL注入攻击。 3. 最小特权原则:为数据库用户提供最小的权限,仅允许其执行必要的操作。限制用户对数据库的访问权限可以减少潜在的风险。 4. 定期更新和维护:及时应用数据库供应商提供的安全补丁和更新,以修复已知的漏洞。 总之,针对万户OA系统中的documentedit.jsp页面,我们需要加强输入验证和过滤,使用参数化查询,限制数据库用户权限,以及及时更新和维护数据库,以止SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值