使用Servlet Filter来防止SQL注入的方法

最新推荐文章于 2021-09-25 07:49:04 发布
最新推荐文章于 2021-09-25 07:49:04 发布
阅读量331 收藏 1
点赞数
分类专栏: JAVA/JSP 文章标签: Servlet SQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/felixsyan/article/details/83701159
版权
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。

filter功能.它使用户可以改变一个 request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够

在一个request到达servlet之前预处理request,也可以在离开 servlet时处理response.换种说法,filter其实是一个”servlet

chaining”(servlet 链). 所以用户发出的任何request都必然经过filter处理,我们就在filter处理用户request包含的敏感关

键字,然后replace掉或是让页面转到错误页来提示用户,这样就可以很好的防sql注入了。


java代码:ReqFilter.java

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class ReqFilter implements Filter {


public void init(FilterConfig config) throws ServletException {
}


public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
ReqHttpServletRequestWrapper reqRequest = new ReqHttpServletRequestWrapper(
(HttpServletRequest) request);
chain.doFilter(reqRequest, response);
}


public void destroy() {
}
}




java代码:ReqHttpServletRequestWrapper.java


import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


public class ReqHttpServletRequestWrapper extends HttpServletRequestWrapper {
HttpServletRequest orgRequest = null;

public ReqHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
orgRequest = request;
}


@Override
public String getParameter(String name) {
String value = super.getParameter(name);
if (value != null) {
value = reqEncode(value);
}
return value;
}





private static String reqEncode(String s) {
if (s == null || "".equals(s)) {
return s;
}
StringBuilder sb = new StringBuilder(s.length() + 16);
for (int i = 0; i < s.length(); i++) {
char c = s.charAt(i);
switch (c) {
case '\'':
sb.append("′");// ´");
break;
case '′':
sb.append("′");// ´");
break;
case '\"':
sb.append(""");
break;
case '"':
sb.append(""");
break;
case '&':
sb.append("&");
break;
case '#':
sb.append("#");
break;
case '\\':
sb.append('¥');
break;

case '>':
sb.append('>');
break;
case '<':
sb.append('<');
break;
default:
sb.append(c);
break;
}
}
return sb.toString();
}


public HttpServletRequest getOrgRequest() {
return orgRequest;
}


public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
if (req instanceof ReqHttpServletRequestWrapper) {
return ((ReqHttpServletRequestWrapper) req).getOrgRequest();
}

return req;
}
}
felixsyan
关注
专栏目录
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求中的参数中含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
三、servlet防止sql注入漏洞
tianyejun6的博客
12-31 2366
一、经常出现漏洞的sql语句 用户名和密码 一起同时查询。select * from users where username=‘abc’ and passwd=‘123’ or 1=‘1’ 二、正确的sql语句先查询数据库根据用户名查询密码,如果存在改用户名,再看密码是否相同。 "select passwd from users where username='" + name + "' limi
Java防止SQL注入2(通过filter过滤器功能进行拦截)
angou6476的博客
12-26 200
首先说明一点,这个过滤器拦截其实是不靠谱的,比如说我的一篇文章是介绍sql注入的,或者评论的内容是有关sql的,那会过滤掉;且如果每个页面都经过这个过滤器,那么效率也是非常低的。 如果是要SQL注入拦截,可以在数据访问上层的业务层用方法的形式进行手动过滤还靠谱些。 或者使用SQL的参数形式进行,这个绝对是百分百搞得定。 关于SQL注入解释,参考:http://www.cnblogs...
spring中使用servlet拦截器实现防止sql注入
不断总结不断成长
01-16 2433
/**  * 描述:防止sql注入  * 作者: dlj  * 时间: 2018年1月16日 上午9:37:04  */ public class AntiSqlInjectionfilter implements Filter { private Logger logger = LoggerFactory.getLogger(AntiSqlInjectionfilter.class)
java 过滤器filtersql注入的实现代码
09-01
本文将详细介绍如何使用Java Filter实现防止SQL注入的功能。 首先,我们需要创建一个实现了`javax.servlet.Filter`接口的类,例如名为`XSSFilter`。这个类将负责拦截请求并处理可能存在的SQL注入风险。下面是一个...
Java防止SQL注入的几个途径
12-14
在 WEB 层我们可以过滤用户的输入来防止 SQL 注入。例如,可以使用 Filter 来过滤全局的表单参数。下面是一个简单的示例代码: ```java import java.io.IOException; import java.util.Iterator; import javax....
防止SQL注入和XSS攻击Filter
06-03
通过使用自定义的Filter防止SQL注入和XSS攻击是一种常见且有效的安全措施。本文介绍了如何实现一个简单的XssFilter,并详细解释了其工作原理。在实际项目中,开发者还可以根据具体的业务需求进一步完善过滤逻辑,...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册FilterFilterServlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,...
防止sql注入demo
07-12
下面我们将深入探讨SQL注入的基本原理、为何需要防止以及如何在Java中实现过滤器(Filter)来防止此类攻击。 1. SQL注入基础: SQL注入是由于应用程序未能正确验证和清理用户输入的数据导致的。当用户提交的输入被...
防止sql注入解决方案
12-07
防止sql注入引起的网络安全的解决措施采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
防止SQl注入
上善若水
02-10 768
package com.tarena.dingdang.filter; import java.io.IOException; import java.util.Enumeration; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import
servlet SQL注入的java审计
来到了学渣的博客
09-20 375
刚入门学习java审计,注定要走很多弯路,但希望能坚持下来从容易到难,一步步的成长。 这篇文章是基于panda 师傅的文章来学习的, https://xz.aliyun.com/t/6872?accounttraceid=80830b9ba7504847b13dec404f34658aspsf 环境搭建 首先要把servletsql注入项目导入idea,sql 测试源码: https://github.com/cn-panda/JavaCodeAudit 启动mysql添加数据库和对应的数据,直接把数据
解决:Servlet登录无法使用自动注入
欢迎来到王大神的博客
09-25 173
在类名上添加注解 ​ @Component 在inin()中添加如下代码 super.init(); ServletContext application = this.getServletContext(); // 解决servlet用@Autowired自动注入service失败的问题 SpringBeanAutowiringSupport.processInjectionBasedOnServletContext(this, application); 每个人都有潜在的能量,只是很容易。被习惯所
servlet过滤器xss,sql注入.filter里修改parameter参数
凉粉
12-10 3230
这中间起到最关键作用的就是HttpServletRequestWrapper 首先创建一个类继承HttpServletRequestWrapper。然后重写getAttribute,getParameter,getParameterValues,getParameterMap这几个方法。 public class OpRequestWrap extends HttpServletRequest
springboot 防止xss 和sql 注入 改写 http 请求 getParameter,getParameterValues,getHeader等方法 有点东西
银河系天城知识宝库_技术专家蒋浩宇
06-12 1850
1.springboot 启动类 引入 过滤器配置 package com.superman; import java.util.HashMap; import java.util.Map; import org.apache.log4j.BasicConfigurator; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplic
SQl 注入及jsp+servlet中的应对方法
UnitedCEO的博客
08-06 745
一、所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB
利用拦截器实现sql防止注入
热门推荐
an341221的专栏
01-29 1万+
web.xml的代码: sqlInjectionFilter com.suning.mcms.web.auth.filter.SqlInjectionFilter sqlInjectionFilter *.do 拦截器的代码: package com.suning.mcms.web.
java 防止xss和sql注入
gentle!!
02-07 1064
Java使用PreparedStatement与Filter防止SQL注入
"Java防止SQL注入的几种方法主要集中在避免SQL拼接、使用预编译的PreparedStatement以及在输入数据时进行过滤。" SQL注入是一种常见的网络安全威胁,它允许攻击者通过在用户输入的数据中嵌入恶意SQL代码,篡改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值