java filter 防止sql注入攻击

最新推荐文章于 2023-08-04 14:48:39 发布
最新推荐文章于 2023-08-04 14:48:39 发布
阅读量2.9k 收藏 5
点赞数
分类专栏: java/jvm java EE 文章标签: filter sql java string delete
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fufengrui/article/details/7740288
版权

原理,过滤所有请求中含有非法的字符,例如:, & <  select delete 等关键字,黑客可以利用这些字符进行注入攻击,原理是后台实现使用拼接字符串,案例:


某个网站的登入验证的SQL查询代码为

      strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"

恶意填入

      userName = "' OR '1'='1";与passWord = "' OR '1'='1";时,将导致原本的SQL字符串被填为
        

      strSQL = "SELECT * FROM users WHERE (name = '' OR '1'='1') and (pw = '' OR '1'='1');"

也就是实际上运行的SQL命令会变成下面这样的

        strSQL = "SELECT * FROM users;"

因此达到无帐号密码,亦可登入网站。所以SQL注入攻击被俗称为黑客的填空游戏。


实现三个步骤:

1,编写filter

2,配置xml

3,配置error.jsp

filter代码;

package cn.kepu.filter;

import java.io.IOException;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;
import java.util.Map;
import java.util.Set;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
 * 防止sql注入,自定义filter
 * cn.kepu.filter.SqlInjectFilter.java
 * @author ffr
 * created at 2012-7-12
 */
public class SqlInjectFilter implements Filter {
	
	private static List<String> invalidsql = new ArrayList<String>();
	private static String error = "/error.jsp";
	private static boolean debug = false;
	
	public void destroy() {
		
	}
	public void doFilter(ServletRequest req, ServletResponse res,
			FilterChain fc) throws IOException, ServletException {
		if(debug){
			System.out.println("prevent sql inject filter works");
		}
		HttpServletRequest request = (HttpServletRequest)req;
		HttpServletResponse response = (HttpServletResponse)res;
		Map<String, String> params = request.getParameterMap();
		Set<String> keys = params.keySet();
		for(String key : keys){
			String value = request.getParameter(key);
			if(debug){
				System.out.println("process params <key, value>: <"+key+", "+value+">");
			}
			for(String word : invalidsql){
				if(word.equalsIgnoreCase(value) || value.contains(word)){
					if(value.contains("<")){
						value = value.replace("<", "<");
					}
					if(value.contains(">")){
						value = value.replace(">", ">");
					}
					request.getSession().setAttribute("sqlInjectError", "the request parameter \""+value+"\" contains keyword: \""+word+"\"");
					response.sendRedirect(request.getContextPath()+error);
					return;
				}
			}
		}
		fc.doFilter(req, res);
	}
	public void init(FilterConfig conf) throws ServletException {
		String sql = conf.getInitParameter("invalidsql");
		String errorpage = conf.getInitParameter("error");
		String de = conf.getInitParameter("debug");
		if(errorpage != null){
			error = errorpage;
		}
		if(sql != null){
			invalidsql = Arrays.asList(sql.split(" "));
		}
		if(de != null && Boolean.parseBoolean(de)){
			debug = true;
			System.out.println("PreventSQLInject Filter staring...");
			System.out.println("print filter details");
			System.out.println("invalid words as fllows (split with blank):");
			for(String s : invalidsql){
				System.out.print(s+" ");
			}
			System.out.println();
			System.out.println("error page as fllows");
			System.out.println(error);
			System.out.println();
		}
	}
}

2.web.xml中添加如下配置:

<filter>
  	<filter-name>PreventSqlInject</filter-name>
  	<filter-class>cn.kepu.filter.SqlInjectFilter</filter-class>
  	<!-- filter word, split with blank -->
  	<init-param>
  		<param-name>invalidsql</param-name>
  		<param-value>select insert delete from update create destory drop alter and or like exec count chr mid master truncate char declare ; - ' % < ></param-value>
  	</init-param>
  	<!-- error page -->
  	<init-param>
  		<param-name>error</param-name>
  		<param-value>/error.jsp</param-value>
  	</init-param>
  	<!-- debug -->  	
	<init-param>
		<param-name>debug</param-name>
		<param-value>true</param-value>
	</init-param>
  </filter>
  <filter-mapping>
  	<filter-name>PreventSqlInject</filter-name>
  	<url-pattern>/*</url-pattern>
  </filter-mapping>

3,在根目录下添加error.jsp 

<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>
<%
String path = request.getContextPath();
%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <title>防sql注入系统</title>
  </head>
  
  <body>
	这个是防sql注入系统,自动过滤您的请求,请更换请求字符串。
	<%=session.getAttribute("sqlInjectError")%>
	<p><a href="<%=path%>">点此返回</a></p>
  </body>
</html>

大功告成

源代码可以到此直接下载:源代码demo

fufengrui
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
array-sql-filter:使用SQL的where子句来过滤对象数组
05-02
数组SQL过滤器 向JS对象数组添加类似SQL的查询功能。 包含该库将向对象数组添加where(),select()和orderBy()功能。 where()-接受SQL查询字符串作为参数。 模拟SQL WHERE子句。 处理所有表达式,包括BETWEEN和IN子句。 标量和聚合函数尚不支持。 select()-模拟SQL SELECT。 orderBy()-模拟SQL ORDER BY。 joinOn()-模拟SQL内部联接。 (实验性的)将连接字段(或连接表达式)作为第一个参数,将要连接的数组作为下一个参数。 为了进行测试,在项目中包含 ###例子 var employee = [ { empid : 100 , ename : "Chuck" } , { empid : 101 , ename : "Rick" } , { emp
java sql过滤_Java防止SQL注入2(通过filter过滤器功能进行拦截)(示例代码)
weixin_35417884的博客
02-12 175
packagecom.jsoft.jblog.filter;importjava.io.IOException;importjava.util.Enumeration;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax.servlet.Serv...
java sql过滤_Java防止SQL注入(通过filter过滤器功能进行拦截)
weixin_35659005的博客
02-12 953
package com.jsoft.jblog.filter;import java.io.IOException;import java.util.Enumeration;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servl...
Java防止SQL注入(通过Filter过滤器功能进行拦截)
qq_37272886的博客
05-18 6581
前言 contentType=multipart/form-data的header以文件流的的形式上传文件时,如果代码中使用了Filter,会出现无法用Filter 中用ServletRequest.getParameter 方法取不到一并提交上来的参数 multipart/form-data格式: package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import java.
过滤器实现全局防SQL注入
ACGkaka的博客
10-28 4587
目录SqlInjectFilter.javaMyRequestWrapper.java 场景: 公司渗透测试,发现了输入框有SQL注入风险,于是进行修改。 解决方案: 增加全局过滤器,对请求参数中存在SQL过滤器的参数进行提示,主要增加了两个类: SqlInjectFilter,过滤器; MyRequestWrapper,用于过滤器中获取POST请求参数。 SqlInjectFilter.java import com.alibaba.fastjson.JSONObject; import com.
java 过滤器filtersql注入
flyear_cn
09-15 767
转自:http://blog.csdn.net/xb12369/article/details/22921629 XSSFilter.java [java] view plaincopy public void doFilter(ServletRequest servletrequest,               ServletR
java 过滤器filtersql注入的实现代码
09-01
本文将详细介绍如何使用Java Filter实现防止SQL注入的功能。 首先,我们需要创建一个实现了`javax.servlet.Filter`接口的类,例如名为`XSSFilter`。这个类将负责拦截请求并处理可能存在的SQL注入风险。下面是一个...
预防XSS攻击SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
javasql注入攻击过滤器
08-09
5. **使用预编译的SQL语句(PreparedStatement)**:除了过滤器之外,还应该使用PreparedStatement来执行SQL查询,因为它们可以自动防止基本的SQL注入攻击。预编译的语句会将参数与SQL语句分开处理,从而消除大部分...
防止SQL注入和XSS攻击Filter
06-03
### 防止SQL注入和XSS攻击Filter详解 #### 一、背景介绍 在现代Web应用开发过程中,确保应用程序安全至关重要。其中两大常见的安全威胁是SQL注入与跨站脚本(Cross Site Scripting,简称XSS)攻击。这两种攻击方式...
Java防止SQL注入的几个途径
12-14
使用 PreparedStatement 可以防止 SQL 注入攻击,因为攻击者不能 inject 恶意的 SQL 语句。 3.过滤用户的输入 在 WEB 层我们可以过滤用户的输入来防止 SQL 注入。例如,可以使用 Filter 来过滤全局的表单参数。...
利用filter(过滤器)拦截非法字符
系阿升呀的博客
03-22 3640
一、需求 当用户发出非法言论的时候,提示用户言论非法。 二、分析 创建一个表单用于发表言论。 创建一个txt文件,其中存入非法字符。 创建一个Filter,拦截请求。在init方法中将txt文件中的非法字符读取到内存中。 获取请求中的参数,对请求的参数进行非法字符的校验。 如果言论中没有含有非法字符,就放行。 如果言论中含有非法字符,就拦截,并且提示用户非法言论。 三、实现过程 整个案例的结构...
java正则表达式过滤特殊字符_使用Java正则表达式过滤特殊字符
weixin_35540389的博客
02-12 994
在某航空集团,系统参数必须过滤一下字符,于是正则表达式处理拦路了!需求:系统输入框(所有输入框),所有URL,过滤以下关键字和特殊字符(下述字符,有哪些影响到业务系统使用的,请具体列出,并说明原因)Sql关键字(前后带空格,大小写):”and”, “exec”, “count”, “chr”, “mid”, “master”, “or”, “truncate”, “char”, “declare”...
javaweb中的过滤器Filter筛选非法字符
qq_43973203的博客
04-07 474
筛选非法字符 需求: 当用户发出非法言论的时候,提示用户言论非法。 步骤分析: 确定访问的是哪些连接 /day09_filter/words?kw=你是个笨蛋 //非法 /day09_filter/words?kw=你是个坏蛋 //非法 /day09_filter/words?kw=你是个Y蛋 //合法 编写一个properties文件,存放这些敏感词汇,规定通过","分...
JavaFilter过滤器乱码处理的两种方式
utoceran的博客
12-05 597
方式一:使用【注解】方式实现过滤 @WebFilter("/*") @WebFilter("/*") public class FilterCode implements Filter { public FilterCode() { // TODO Auto-generated constructor stub } public void destroy() { // TODO Auto-generated method stub } public void.
java sql过滤_防止常见XSS 过滤 SQL注入 JAVA过滤器filter
weixin_36152824的博客
02-20 280
/****/packagecom.cup.cms.web.framework.filter;importjava.util.regex.Pattern;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletRequestWrapper;/*** @Author hithedy* @Date 2...
简单的防止SQL注入java方法
Mr.薛的博客
11-05 5677
public class SQLFilter { /** * SQL注入过滤 * @param str 待验证的字符串 */ public static String sqlInject(String str){ if(StringUtils.isBlank(str)){ return null; ...
过滤SQL非法字符串
weixin_34279061的博客
04-03 221
/// &lt;summary&gt; /// 过滤SQL非法字符串 /// &lt;/summary&gt; /// &lt;param name="value"&gt;&lt;/param&gt; /// &lt;returns&gt;&lt;/returns&gt; public static string Filter(string value) { if (string
SQL注入过滤器
最新发布
Need not to know
08-04 524
一个防SQL注入的过滤器
Java项目防止SQL注入策略详解
这四种方法结合使用,可以构建一个相对严密的防御体系,减少SQL注入攻击的可能性。然而,最佳实践还包括定期更新依赖库以修复已知漏洞,以及对代码进行安全性审计,确保所有数据交互都遵循安全原则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值