如何预防SQL注入,XSS漏洞(spring,java)

最新推荐文章于 2023-03-02 16:50:50 发布
最新推荐文章于 2023-03-02 16:50:50 发布
阅读量164 收藏
点赞数
文章标签: 数据库 java 测试
原文链接:http://www.cnblogs.com/Fly-Bob/p/7912800.html
版权

SQL注入简介

SQL注入是由于程序员对用户输入的参数没有做好校验,让不法分子钻了SQL的空子,
比如:我们一个登录界面,要求用户输入用户名和密码:
用户名: ' or 1=1--
密码:
点击登录之后,如果后台只有一条简单的待条件的sql语句,没有做特殊处理的话:
如:
String sql="select * from users where username='"+userName+"' and password='"+password+"' "
这样拼接的结果是
String sql="select * from users where username='’or 1=1--' and password='' "
这条语句会将数据库中的数据全部读出来。
很显然由于username='’or 1=1中用户名等于'' 或1=1这个条件恒成立,然后后面加上了--,然后后面的语句不起作用。所以就把数据库中的数据全部读取出来了。
如果:执行
select * from users where username='' ;DROP Database (DB Name) --' and password=''
则会产生很严重的后果。

怎样预防SQL注入

预防SQL注入主要有三个方式 :
1.采用预编译语句集(PreparedStatement),其内置处理sql注入的能力。

String hql=”from User user where user.username=:username ” and
user.password=:password ; 
Query query=session.createQuery(hql); 
query.setParameter(“username”,name,Hibernate.STRING)
query.setParameter("password",password,Hibernate.STRING);
  1. 采用拦截器对用户输入的参数进行转义校验。以下以spring mvc 为例。
    首先我们需要在web.xml 中配置拦截器:
<filter>
        <description>XSS过滤</description>
        <filter-name>XssEscape</filter-name>
        <filter-class>com.jay.controller.XssFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>XssEscape</filter-name>
        <url-pattern>*.html</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

接着我们来看一下拦截器的代码

public class XssFilter implements Filter{
    @Override  
    public void init(FilterConfig filterConfig) throws ServletException {  
    }  
  
    @Override  
    public void doFilter(ServletRequest request, ServletResponse response,  
            FilterChain chain) throws IOException, ServletException {  
        chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);  
    }  
  
    @Override  
    public void destroy() {  
    }  
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
  
    public XssHttpServletRequestWrapper(HttpServletRequest request) {  
        super(request);  
    }  
  
    @Override  
    public String getHeader(String name) {  
        return StringEscapeUtils.escapeHtml4(super.getHeader(name));  
    }  
  
    @Override  
    public String getQueryString() {  
        return StringEscapeUtils.escapeHtml4(super.getQueryString());  
    }  
  
    @Override  
    public String getParameter(String name) {  
        return StringEscapeUtils.escapeHtml4(super.getParameter(name));  
    }  
  
    @Override  
    public String[] getParameterValues(String name) {  
        String[] values = super.getParameterValues(name);  
        if(values != null) {  
            int length = values.length;  
            String[] escapseValues = new String[length];  
            for(int i = 0; i < length; i++){  
                escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);  
            }  
            return escapseValues;  
        }  
        return super.getParameterValues(name);  
    }

转载于:https://www.cnblogs.com/Fly-Bob/p/7912800.html

dianxu8537
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java防止sql注入方正_有效防止SQL注入的5种方法总结
weixin_39517357的博客
02-27 1071
sql注入入门SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。演示下经典的SQL注入我们看到:select id,no from user where id=2;如果该语句是通过sql字符串拼接得到的,比如: String sql...
xss攻击和sql注入
03-19
xss攻击和sql注入
java 防止XssSQL注入攻击
热门推荐
湖人•总冠军
01-17 1万+
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。  1.1.XSS攻击的危害      1、盗取用户资料,比如:登录帐号、...
Java项目防止SQL注入的方式总结
睡竹的博客
03-02 9524
Java项目防止SQL注入的方式总结 springboot配置请求过滤器防止SQL注入 nginx防止SQL注入 mybatis防止SQL注入
【转】springboot-防止sql注入xss攻击,cros恶意访问
tpriwwq的专栏
06-21 881
springboot-防止sql注入xss攻击,cros恶意访问 文章目录 springboot-防止sql注入xss攻击,cros恶意访问 1.sql注入 2.xss攻击 3.csrf/cros 完整代码下载链接: https://github.com/2010yhh/springBoot-demos.git 环境 idea2018,jdk1.8, springboot版本:springboot1.5.9.RELEASE 1.sql注入 sql注入: 把SQL命令插入到Web表单递交或输入
PHP中防止SQL注入攻击和XSS攻击的两个简单方法
12-17
mysql_real_escape_string() 所以得SQL语句如果有类似这样的写法:”select * from cdr where src =”.$userId; 都要改成 $userId=mysql_real_escape_string($userId) 所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。 您可能感兴趣的文章:php中防止SQL注入的最佳解决方法php防止
java web Xsssql注入过滤器.zip
04-22
总之,这个项目提供了预防XSSSQL注入的实例,对于学习如何在Spring Boot应用中实现安全防护非常有帮助。开发者可以通过研究项目源码,了解如何自定义过滤器、配置安全策略以及利用Spring Boot的安全特性,提升自己...
java 预防XSS攻击
08-23
- 避免动态构造SQL查询,使用预编译的PreparedStatement来防止SQL注入,同时间接减少XSS风险。 7. **教育开发者**: - 培训开发团队了解XSS攻击原理和防范措施,提高安全意识。 - 实施代码审查制度,确保所有...
springboot整合XSS
03-20
2. 使用安全的编程模式,例如预编译SQL语句以防止SQL注入,同时也能防止XSS。 3. 使用最新的安全框架和库,定期更新以修复已知漏洞。 4. 在服务器端和客户端同时实施防护策略,提高安全性。 5. 建立严格的访问控制和...
Springboot-XSS.zip
09-03
总的来说,"Springboot-XSS.zip"这个压缩包可能包含了示例代码,演示了如何在Spring Boot应用中处理XSSSQL注入问题。通过研究和学习这些代码,开发者可以更好地理解和实施安全防护措施,以构建更健壮的Web应用。
online-sale-example:简单的购物网站,后端使用Spring Boot框架构建, web层使用SpringMVC框架,数据访问使用MyBatis,验证、权限管理使用Spring Security框架,前端使用FreeMarker模板 ,注意到了对XSSSQL注入、文件上传漏洞等常见Web漏洞的防护
05-14
简单的购物网站,后端使用Spring Boot框架构建, web层使用SpringMVC框架,数据访问使用MyBatis,验证、权限管理使用Spring Security框架,前端使用FreeMarker模板 ,注意到了对XSSSQL注入、文件上传漏洞等常见Web...
防止SQL注入XSS攻击Filter
06-03
防止SQL注入XSS攻击Filter
java 防止xsssql注入
gentle!!
02-07 1034
Java防止SQL注入问题 解决XSS攻击 (个人梳理)
博桑根本提不起劲的博客
01-20 467
Java防止SQL注入问题 解决XSS攻击 (个人梳理) 【Java防止SQL注入问题 解决XSS攻击 (个人梳理) 文章目录【Java防止SQL注入问题 解决XSS攻击 (个人梳理)前言一、sql注入案例之一(拼接sql)二、避免被sql注入1.不要用拼接sql的形式XSS攻击总结版权声明最后 写给读此文章的你 前言 sql注入是什么,就是用户通过在表单中填写包含 SQL 关键字的数据来使数据库执行非常 规代码的过程。简单来说,就是客户端插入的数据做了代码才能干的 事情。这个问题的来源是
Java防止SQL注入的一些途径
主题模板站的博客
01-31 2217
javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。35 //TODO这里发现sql注入代码的业务逻辑代码。
spring mysql防注入攻击_如何预防SQL注入XSS漏洞(spring,java)
weixin_31896061的博客
01-27 376
SQL注入简介SQL注入是由于程序员对用户输入的参数没有做好校验,让不法分子钻了SQL的空子,比如:我们一个登录界面,要求用户输入用户名和密码:用户名: ' or 1=1--密码:点击登录之后,如果后台只有一条简单的待条件的sql语句,没有做特殊处理的话:如:String sql="select * from users where username='"+userName+"' and pass...
SpringBoot安全漏洞SQL注入XSS攻击简介说明
qq_25073223的博客
11-21 780
SpringBoot安全漏洞SQL注入XSS攻击简介说明
XSS攻击和SQL注入及解决方案
coderWang
09-02 1876
最近发现公司老项目存在XSSSQL注入问题,分析及记录下 1.什么是XSS攻击手段 XSS攻击简单来说就是JavaScript脚本语言攻击 1. 如 弹 出 恶 意 警 告 框 :<script>alert(“XSS”);</script> 2. XSS 输入也可能是 HTML 代码段,譬如: (1) 网页不停地刷新 <meta http-equiv=’re...
配置拦截器防xsssql注入
香菇猫的博客
11-19 6487
web项目防sql注入
Spring Security有哪些常见的安全漏洞及如何预防?
最新发布
08-18
Spring Security有很多种常见的安全漏洞,包括SQL注入、跨站脚本攻击以及跨站请求伪造等。 为了预防这些漏洞,需要对应用程序进行安全审计,并定期测试和更新其代码。同时,可以使用Spring Security中提供的安全策略...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值