Springboot集成防sql注入设置

已于 2024-03-21 16:16:50 修改
阅读量2.8k 收藏 13
点赞数 1
分类专栏: java日常学习 文章标签: spring boot sql java
于 2022-10-21 13:54:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hao_kkkkk/article/details/127445005
版权

防sql注入为系统开发最基础的安全开发要求,在此分享基于过滤器和功能可开关的防sql注入写法,仅供学习交流使用。

SqlFilterConfigUtils 为sql注入防护开关工具类,可以灵活开启和关闭sql防注入功能

import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

/**
 * @Auther: GMY
 * @Date: 2022/09/15/14:24
 * @Description: sql注入防护开关工具类
 */
@Component
public class SqlFilterConfigUtils {
    /**
     * sql注入防护开关配置
     */
    public static Boolean openSqlProtect;

    /**
     * sql注入防护开关配置,默认为开启
     */
    public static Boolean getOpenSqlProtect() {
        return openSqlProtect == null ? true : openSqlProtect;
    }
    
    @Value("${open.sql.protect}")
    public void setOpenSqlProtect(Boolean openSqlProtect) {
        SqlFilterConfigUtils.openSqlProtect = openSqlProtect;
    }
}

SqlFilter  为sql防注入过滤器,用来拦截过滤用户请求,检测是否有sql注入攻击

import org.springframework.context.annotation.Configuration;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;
import java.util.Enumeration;

/**
 * @Auther: GMY
 * @Date: 2022/09/15/14:13
 * @Description: sql防注入过滤器
 */
@WebFilter(urlPatterns = "/*",filterName = "sqlFilter")
@Configuration
public class SqlFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }


    /**
     * @param servletRequest
     * @param servletResponse
     * @param filterChain
     * @return void
     * @author GMY
     * @date 2022/9/15 14:17
     * @description sql注入过滤
     */
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        ServletRequest request = servletRequest;
        ServletResponse response = servletResponse;
        // 如果sql防注入关闭,则不执行后续校验操作
        if(!SqlFilterConfigUtils.getOpenSqlProtect()) {
            filterChain.doFilter(request,response);
        } else {
            // 获得所有请求参数名
            Enumeration<String> names = request.getParameterNames();
            String sql = "";
            while (names.hasMoreElements()){
                // 得到参数名
                String name = names.nextElement().toString();
                // 得到参数对应值
                String[] values = request.getParameterValues(name);
                for (int i = 0; i < values.length; i++) {
                    sql += values[i];
                }
            }
            if (sqlValidate(sql)) {
                throw new IOException("您发送请求中的参数中含有非法字符");
            } else {
                filterChain.doFilter(request,response);
            }
        }
    }

    /**
     * @param str
     * @return boolean
     * @author GMY
     * @date 2022/9/15 14:16
     * @description 匹配效验
     */
    protected static boolean sqlValidate(String str){
        // 统一转为小写
        String s = str.toLowerCase();
        // 过滤掉的sql关键字,特殊字符前面需要加\\进行转义
        String badStr =
                "select|update|and|or|delete|insert|truncate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute|table|"+
                        "char|declare|sitename|xp_cmdshell|like|from|grant|use|group_concat|column_name|" +
                        "information_schema.columns|table_schema|union|where|order|by|" +
                        "'\\*|\\;|\\-|\\--|\\+|\\,|\\//|\\/|\\%|\\#";
        //使用正则表达式进行匹配
        boolean matches = s.matches(badStr);
        return matches;
    }

    @Override
    public void destroy() {

    }
}

以上代码仅供学习交流使用,代码中涉及到真实项目信息的内容我都做了相应修改

hao_kkkkk
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot集成Mybatis实现简单的SQL注入(攻击)案例
12-14
一、项目演示 (1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT NULL, "name" varchar(255) COLLATE "pg_catalog"."default", "password" varchar(255) COLLATE "pg_catalog"."default" ) ; DROP TABLE IF E
Spring Boot 如果护 XSS + SQL 注入攻击
mry6的博客
05-07 915
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
springboot-curd 实现动态sql注入和注解方式注入,干货精讲
m0_60635245的博客
03-21 415
这个月马上就又要过去了,还在找工作的小伙伴要做好准备了,小编整理了大厂java程序员面试涉及到的绝大部分面试题及答案,希望能帮助到大家小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
SpringBoot】通过Filter实现整个项目接口的SQL注入拦截
真的好想再回到那时,可现在能做的只有补救。————个人博客:https://w7h1te.github.io/
09-13 1238
令人非常愉悦的参考
SpringBoot防止SQL注入和XSS攻击
ChuaWi98的博客
06-02 3631
SQL注入SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。 SQL注入漏洞可能会影响使用SQL数据库(如MySQL,Oracle,SQL Server或其他)的任何网站或Web应用程序。犯罪分子可能会利用它来未经授权访问用户的敏感数据:
SpringBoot学习】23、SpringBoot 防止SQL注入、XSS攻击、CSRF/CROS恶意访问
Tellsea
03-18 3430
文章目录一、SQL注入问题(1)什么是SQL注入(2)防止SQL注入二、XSS攻击问题(1)什么是XSS攻击(2)防止XSS攻击三、CSRF/CROS恶意访问(1)什么是CSRF/CROS恶意访问(2)解决办法四、解决方案微信公众号 一、SQL注入问题 (1)什么是SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
7、springboot-防止sql注入
aunt_y的博客
05-25 4393
疫情大数据平台是一个公益的项目,但很可能被网络上大量的扫描器扫描,并有可能收到脚本的攻击,而进行御就是很重要的,可以有效的避免我们被攻击。 本篇主要讲述防止sql注入部分 sql注入是什么 ​ SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。 ​ 而SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。 ​ 如Web应用程序的开发人员对用户所输入的数据或cooki
防止 SQL 注入
洪晓鸿
04-26 2293
防止 SQL 注入是在使用 Spring Boot 开发 Web 应用程序时必须关注的重要安全问题。通过遵循以下四个步骤,我们可以有效地预 SQL使用参数化查询。使用 JPA 或其他 ORM 框架。验证和过滤用户输入。设置最小权限原则。结合这些方法,我们可以确保我们的应用程序在面对 SQL 注入攻击时能够保持数据安全。
Spring Boot项目中防止SQL注入
wang13145的博客
08-06 3887
1.首先是原始的jdbc连接数据库,手写sql引起的SQL注入问题 1.不使用PreparedStatement的set方法设置参数(效果跟Statement相似,相当于执行静态SQL) String param = "'test' or 1=1"; String sql = "select file from file where name = " + param; // 拼接SQL参数 PreparedStatement preparedStatement = connection.prepare
java springboot sql注入的6种方式
qq_34874784的博客
08-24 3448
4. 使用ORM框架中提供的查询构造器(Query Builder):ORM框架通常提供查询构造器或查询构造API,这些API可以帮助我们构建数据库查询语句,而无需手动编写SQL语句。1. 参数绑定:通过使用参数绑定,将用户输入的数据作为参数传递给SQL语句,而不是将其直接拼接到SQL语句中。6. 使用安全的编码方式:在将用户输入插入到SQL语句中时,确保使用合适的编码方式进行转义,例如使用转义函数或参数化查询。5. 输入验证和过滤:对于用户输入的数据,应该进行验证和过滤,确保其符合预期的格式和类型。
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
springboot-freemarker:包含框架有:SpringBootSpringMVC、MyBaits、Bootstrap3、Druid、Freemarker;有完整的UI、增删改查及分页,SQL注入、XSS攻击拦截等
05-01
springboot-freemarker 介绍 它是一个典型的MVC三层框架,快速简单的上手。 springboot-freemarker 包含框架有:SpringBootSpringMVC、MyBaits、Bootstrap3、Druid、Freemarker; 集成示例有:增删改查及分页;XSS、SQL注入; 数据库配置 默认是连接MySQL数据库,支持多数据源,分别连接的db1,db2 ,在项目工程的db文件夹下有数据库初始化脚本; 如果切换至sqlite数据库时,则application.properties当中的mybatis分页插件需要改成支持sqlite; 示例启动 启动工程; 运行cn.springboot.Application当中的main方法; 浏览器访问, 测试账号是admin/123456,即可看示例效果;
springboot集成mybatis动态sql.zip
最新发布
04-28
Mabits的动态SQL还允许开发者使用参数化查询,可以防止SQL注入攻击,并增强程序的安全性 学习经常用的几个标签 2.标签 标签是Mabits动态SQL中最常用的一个标签之一,它的作用是根据给定条件包含或排除不同的部分,以...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
springboot-jsp:包含框架有:SpringBootSpringMVC、MyBaits、Bootstrap3、Druid; 有完整的UI、增删改查及分页,SQL注入、XSS攻击拦截等
05-01
XSS、SQL注入; 前端采用的jsp、springboot对jsp支持不是很友好,建议编译打包成war; 数据库配置 默认是连接MySQL数据库,支持多数据源,分别连接的db1,db2 ,在项目工程的db文件夹下有数据库初始化脚本; 如果...
Springboot项目全局异常统一处理
热门推荐
hao_kkkkk的专栏
06-01 11万+
最近在做项目时需要对异常进行全局统一处理,主要是一些分类入库以及记录日志等,因为项目是基于Springboot的,所以去网络上找了一些博客文档,然后再结合项目本身的一些特殊需求做了些许改造,现在记录下来便于以后查看。 在网络上找到关于Springboot全局异常统一处理的文档博客主要是两种方案: 1、基于@ControllerAdvice注解的Controller层的全局异常统一处理 以下是...
springboot 集成SQL server
05-19
要在Spring Boot应用程序中集成SQL Server,您需要完成以下步骤: 1. 添加SQL Server JDBC 驱动程序依赖项 在您的pom.xml文件中添加以下依赖项: ```xml <dependency> <groupId>com.microsoft.sqlserver</groupId> <artifactId>mssql-jdbc</artifactId> <version>8.2.2.jre11</version> </dependency> ``` 2. 配置数据库连接 在application.properties文件中添加以下属性: ``` spring.datasource.url=jdbc:sqlserver://localhost:1433;databaseName=mydatabase spring.datasource.username=db_username spring.datasource.password=db_password spring.datasource.driver-class-name=com.microsoft.sqlserver.jdbc.SQLServerDriver ``` 请注意,您需要将上述代码中的URL,用户名和密码更改为您的SQL Server实例的详细信息。 3. 编写DAO层代码 现在,您可以使用Spring Data JPA或MyBatis等ORM框架编写您的DAO层代码。例如,如果您使用Spring Data JPA,请创建一个继承自JpaRepository接口的Repository接口,并在其中定义您的自定义查询方法。然后,将此接口注入到您的服务层中,并使用它来执行数据库操作。 以上就是集成SQL Server到Spring Boot应用程序的基本步骤。希望对您有帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hao_kkkkk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值