防止sql注入拦截

最新推荐文章于 2024-06-24 21:24:54 发布
最新推荐文章于 2024-06-24 21:24:54 发布
阅读量1.7k 收藏
点赞数 1
分类专栏: web安全

防止sql注入拦截

这两天在做一个sql注入拦截,期间遇到了不少问题,最大的问题是在,拦截sql注入后利用response 重定向到错误页面,始终无法实现跳转。发现原因是,ajax 异步请求时并不会对response重定向做处理。当然包括response.getWrite().print("");等页面都不会做出反应。

下面是我的代码,首先是编写一个拦截器

复制代码 
package com.booway.pwbzh.util;

import java.util.Enumeration;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * sql注入攻击拦截
 * @author s
 */
public class SqlInjectFilter implements Filter
{
    FilterConfig filterConfig = null;

    /**
     * 初始化
     * @param filterConfig filterConfig
     * @throws ServletException 异常
     */
    public void init(FilterConfig filterConfig) throws ServletException
    {
        this.filterConfig = filterConfig;
    }

    public void destroy()
    {
        this.filterConfig = null;
    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
    {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        try
        {
            // 获得所有请求参数名
            Enumeration params = req.getParameterNames();
            String sql = "";
            while (params.hasMoreElements())
            {
                // 得到参数名
                String name = params.nextElement().toString();
                // 得到参数对应值
                String[] value = req.getParameterValues(name);
                for (int i = 0; i < value.length; i++)
                {
                    sql = sql + value[i];
                }
            }
            // 截取我要拦截的字段
            sql = getfilte(sql);
            // 有sql关键字,跳转到error.html
            if (sqlValidate(sql))
            {
                res.setHeader("SESSIONSTATUS", "TIMEOUT");
                res.setHeader("CONTEXTPATH", req.getContextPath() + "/pwbzh_module/500.jsp");
                res.setStatus(HttpServletResponse.SC_FORBIDDEN);
                return;
                // throw new IOException("您发送请求中的参数中含有非法字符");

            }

            chain.doFilter(request, response);
        }
        catch (Exception e)
        {
            e.printStackTrace();
        }

    }

    // 效验
    protected static boolean sqlValidate(String str)
    {
        str = str.toLowerCase();// 统一转为小写
        String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" + "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" + "table|from|grant|use|group_concat|column_name|" + "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" + "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";// 过滤掉的sql关键字,可以手动添加
        String[] badStrs = badStr.split("\\|");
        for (int i = 0; i < badStrs.length; i++)
        {
            // 循环检测,判断在请求参数当中是否包含SQL关键字
            if (str.indexOf(badStrs[i]) >= 0)
            {
                return true;
            }
        }
        return false;
    }

    // 截取需要拦截的字段
    protected static String getfilte(String str)
    {
        int idex = str.indexOf("filter");
        String ss = "";
        if (idex < 0)
        {
            return ss;
        }
        if (str.indexOf(",", idex) < 0)
        {
            ss = str.substring(idex, str.length());
        }
        else
        {
            ss = str.substring(idex, str.indexOf(",", idex));
        }
        return ss;
    }
}
复制代码

在xml中加入拦截配置

复制代码 
<module:servletfilter id="SqlInjectFilter">
<module:filter-name>SqlInjectFilter</module:filter-name>
<module:filter-class>
com.booway.pwbzh.util.SqlInjectFilter
</module:filter-class>
<module:url-pattern>*/*</module:url-pattern>
</module:servletfilter>
复制代码

最关键的,要突破ajax 实现跳转在首页加入下面这个方法

复制代码 
$.ajaxSetup( {  
    //设置ajax请求结束后的执行动作  
    complete :   
    function(XMLHttpRequest, textStatus) {  
        // 通过XMLHttpRequest取得响应头,sessionstatus  
        var sessionstatus = XMLHttpRequest.getResponseHeader("sessionstatus");  
        if (sessionstatus == "TIMEOUT") {  
            var win = window;  
            while (win != win.top){  
                win = win.top;  
            } 
           //alert("请不要尝试sql注入!");
                win.location.href= XMLHttpRequest.getResponseHeader("CONTEXTPATH");  
        }  
    }  
});
复制代码

 

解决方案出自 http://blog.csdn.net/guiyingde/article/details/53381734 感谢面向阳光的向日葵

标签:  sql注入ajaxresponse重定向异步拦截
javaPie
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用拦截器实现sql防止注入
an341221的专栏
01-29 1万+
web.xml的代码: sqlInjectionFilter com.suning.mcms.web.auth.filter.SqlInjectionFilter sqlInjectionFilter *.do 拦截器的代码: package com.suning.mcms.web.
sql注入和xss攻击, springmv拦截
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
防止SQL注入式攻击
08-11
防止SQL注入式攻击例程序,可以参考学习使用。。。。。。。。。。。
防范SQL注入式攻击
靳英辉的专栏
05-23 1万+
SQL注入式攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方式的攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。比如:如果你的查询语句是select * from admin where username="&user&" and password="&pwd&"" 那么,如果我的用户名是:1 or 1=1 那么,你的查询语句将
分布式数据库系统MyCat
最新发布
zhuge_long的专栏
06-24 497
MyCAT主要解决的是数据库的分库分表,以及对数据的读写分离。来达到提高数据存储量,以及提升数据查询效率等
防止sql注入
厄多斯L的博客
08-21 339
# 存在sql注入 sql = """select * from info where code = '%s';""" % stock_code # 避免通过stock_code进行sql注入 sql = """select * from info where code=%s;""" cs.execute(sql, (stock_code,)) # 将stock_code以元组的方式传入 ...
防止sql注入工具类l
03-22
NULL 博文链接:https://kaka100.iteye.com/blog/1004594
mybatis如何防止SQL注入
01-05
### MyBatis如何防止SQL注入 #### SQL注入简介与危害 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过提交恶意的SQL代码到应用程序的输入字段中(如表单、URL等),利用这些输入来操控数据库执行非预期的...
Nginx中防止SQL注入攻击的相关配置介绍
09-30
在Nginx中防止SQL注入攻击是保护Web应用程序安全的重要环节。SQL注入是黑客利用恶意SQL语句侵入数据库的一种常见方法。以下是一些相关的配置介绍,这些配置可以帮助你阻止可能的SQL注入尝试。 首先,了解基本思路:...
JS代码防止SQL注入的方法(超简单)
10-22
为了防止SQL注入攻击,我们可以在后台验证密码时过滤掉任何可能的SQL语句构造,但更关键的是在前端就进行检测和拦截。 在前端实现时,可以编写一段JavaScript代码,用于检查用户名和密码输入框中的内容。如果发现...
T-SQL篇如何防止SQL注入的解决方法
09-11
防止SQL注入,以下是一些关键策略: 1. **参数化查询**:这是最基础也是最有效的防范措施。参数化查询(也称为预编译查询)将用户输入的数据与SQL命令分开处理,确保即使输入包含SQL语法,也不会被执行。大多数...
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
SQL注入 代码 主要是拦截
09-30
里面提供了主要的防sql注入的代码 及如何拦截
防止Sql注入拦截
liuxinyang666的博客
01-30 993
这两天在做一个sql注入拦截,期间遇到了不少问题,最大的问题是在,拦截sql注入后利用response 重定向到错误页面,始终无法实现跳转。发现原因是,ajax 异步请求时并不会对response重定向做处理。当然包括response.getWrite().print(“”);等页面都不会做出反应。 下面是我的代码,首先是编写一个拦截器 package com.booway.pwbzh
java ssh 防止sql注入
weixin_30564785的博客
05-19 920
sql注入 @(JAVA)[防sql注入] <filter> <filter-name>httpHeaderSecurity</filter-name> <!-- filter2 <filter-class>com.wisdombud.cqupt.edu.web.filter.HttpHeaderSecurityFilter&...
SQL注入与预防
qq_34644183的博客
02-28 4035
定义:把SQL命令插入到Web表单提交或者输入域名或者构造页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令来盗取信息或者攻击数据库服务器。检查SQL注入漏洞检查所有的输入;包括域名输入(GET)表单提交(POST)以及PUT请求,如果在这些地方注入SQL命令能够成功进入系统或者抛出SQL异常则可能存在SQL注入漏洞。页面请求域数字注入如原域名为:localhost:8080/Test/...
网站mysql防止sql注入攻击 3种方法总结
热门推荐
网站安全专家
10-11 1万+
mysql数据库一直以来都遭受到sql注入攻击的影响,很多网站,包括目前的PC端以及手机端都在使用php+mysql数据库这种架构,大多数网站受到的攻击都是与sql注入攻击有关,那么mysql数据库如何防止sql注入呢?下面我们SINE安全技术针对于这个sql注入问题总结3种方案去防止sql注入攻击。 sql注入产生的原因很简单,就是访问用户通过网站前端对网站可以输入参数的地方进行提交参数,...
阻止SQL注入
oYeLuo1234的博客
04-06 4206
什么是SQL注入? SQL 注入(SQL Injection) 是发生在 Web 程序中数据库层的安全漏洞,是网站存在最多也是最简单的漏洞。 主要原因是程序对用户输入数据的合法性没有判断和处理,导致攻击者可以在 Web 应用程序中事先定义好的 SQL 语句中添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步获取到数据信息。 解决方法: (简单又有效的方法)PreparedStatement 采用预编译语句集,它内置了处理SQL
SQL注入攻击的防御方法
qq_69100706的博客
04-15 563
由于参数值会被正确转义并严格作为数据对待,而非指令的一部分,即使输入包含恶意的SQL代码,也不会被执行。对所有用户输入进行严格的验证和过滤,确保其符合预期的数据类型、长度、格式和字符集。拒绝或清理不符合规则的输入,移除或转义可能用于SQL注入的特殊字符(如单引号、双引号、分号、注释符等)。ORM框架将对象与数据库表进行映射,自动处理数据查询和持久化,同时确保在生成SQL时对用户输入进行适当的转义或参数化。对于必须手动编写的SQL查询,确保使用适当的方法(如函数或库)对用户输入进行转义。
拦截防止sql注入
11-01
这种方式可以避免在每个微服务中都实现一遍SQL注入拦截,提高了系统的安全性和可维护性。 具体实现时,可以参考前面提到的日志拦截器的实现方式。在拦截器中,我们可以使用正则表达式等方式来检查请求参数是否存在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值