防止sql注入

最新推荐文章于 2020-05-10 10:38:02 发布
最新推荐文章于 2020-05-10 10:38:02 发布
阅读量101 收藏
点赞数
分类专栏: java 文章标签: java web.xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hqmln/article/details/84286948
版权

我们在开发系统的时候,总是要防止sql注入的,下面是我采用过滤器方式来阻止sql注入的,感觉效率很慢的,所以各位有好的方式请推荐。

过滤器代码:

package com.zbxsoft.uct.auth;

import java.io.IOException;
import java.util.Enumeration;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.zbxsoft.tools.LogUtil;
import com.zbxsoft.tools.StrUtil;
/**
 * 防止sql攻击过滤器
 * @author qmhao
 * @version 1.2.3
 */
public class SqlFilter implements Filter {
	static String[] splitSql = null;
	static String errorPage = "/";
	/**
	 * 初始化
	 */
	public void init(FilterConfig arg0) throws ServletException {
		String ep = arg0.getInitParameter("errorPage");// 读配置文件
		if (ep != null) {
			errorPage = ep;
		}

		String sqlStr = arg0.getInitParameter("sqlStr");// 读配置文件
		if (sqlStr != null) {
			splitSql = sqlStr.split("\\|");
		}
	}

	public void destroy() {
	}

	/**
	 * 执行过滤
	 */
	public void doFilter(ServletRequest srequest, ServletResponse sresponse,
			FilterChain chain) throws ServletException, IOException {

		HttpServletRequest request = (HttpServletRequest) srequest;
		HttpServletResponse response = (HttpServletResponse) sresponse;
		response.setCharacterEncoding("UTF-8");

		if (splitSql != null && splitSql.length > 0) {
			Enumeration enum1 = request.getParameterNames();

			while (enum1.hasMoreElements()) {
				String param = enum1.nextElement().toString();
				String value = request.getParameter(param);
				LogUtil.info("------sqlFilter: value="+value);
				if (!isCorrectContent(value)) {
					response.setContentType("text/html;charset=UTF-8");
					response.getWriter().write("<script>alert('请求参数中含有非法字符!');</script>");
					LogUtil.error(">>>>>>>>>>>>>>sql过滤未通过!!param:"+param+"value:"+value);
					return ;
				}
			}
		}
		LogUtil.debug(">>>>>>>>>>>>>>sql过滤通过!!");
		chain.doFilter(request, response);

	}

	/**
	 * 判断是否是安全值
	 * @param paraValue
	 * @return boolean true是安全的,false为不安排的
	 */
	public static synchronized boolean isCorrectContent(String paraValue) {
		if (StrUtil.isNull(paraValue)) {
			return true;
		}
		for (int i = 0; i < splitSql.length; i++) {
			if (paraValue.toLowerCase().indexOf(splitSql[i]) != -1) {
//			if (paraValue.toLowerCase().equals(splitSql[i])) {
				return false;
			}
		}
		return true;
	}
}
 

 

web.xml配置

<!-- 安全过滤器:sql注入,敏感词 -->
	<filter>
		<filter-name>sqlFilter</filter-name>
		<filter-class>com.zbxsoft.uct.auth.SqlFilter</filter-class>		
		<init-param>
			<param-name>sqlStr</param-name>
			<param-value>grant|exec|execute|insert|drop|select|delete|update|truncate|declare</param-value>
		</init-param>
		<init-param>
			<param-name>errorPage</param-name>
			<param-value>/common/error.jsp</param-value>
		</init-param>		
	</filter>
 

 

 

hqmln
关注
专栏目录
javascript表单验证之SQL注入验证
萧枫的专栏
08-25 3395
javascript表单验证之SQL注入验证
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
最新发布
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
JS防止SQL注入代码
Miss卿
11-01 611
  简单的JS防止SQL注入代码 这个SQL注入的方法不是最好的,最好也在服务器端设置验证,可以考虑Ajax来验证防止!  1.URL地址防注入: //过滤URL非法SQL字符   varsUrl=location.search.toLowerCase();   varsQuery=sUrl.substring(sUrl.indexOf("=")+1);   re=/sele...
Hibernate框架中的HQL注入漏洞
Exploit的小站~
05-10 2万+
 Hibernate是一种ORMapping框架,内部可以使用原生SQL还有HQL语言进行SQL操作。 所谓的HQL注入,就是指在Hibernate中没有对数据进行有效的验证导致恶意数据进入应用程序中造成的。 请看这段代码: Input参数即可造成注入。 不过在Hibernate中,一般都是在createQuery中使用PDO,使用setString填充占位符进行sql语句...
JS代码防止SQL注入的方法(超简单)
零一
12-04 2395
1.URL地址防注入: //过滤URL非法SQL字符 var sUrl=location.search.toLowerCase(); var sQuery=sUrl.substring(sUrl.indexOf("=")+1); var re=/select|update|delete|truncate|join|union|exec|insert|drop|count|'|"|;|>|...
防止SQL注入的五种方法
热门推荐
路漫漫~
05-09 4万+
一、SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。     SQL注入是比较常见的
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
Hibernate使用中防止SQL注入的几种方案
01-20
以下是Hibernate中防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...
使用Python防止SQL注入攻击的实现示例
09-16
### 使用Python防止SQL注入攻击的实现示例 #### 文章背景与重要性 随着网络技术的发展,Web应用程序的安全性越来越受到人们的重视。开放式Web应用程序安全项目(OWASP)每几年都会发布一次关于Web应用程序最常见...
一些常见的SQL注入方法(联合注入 盲注 延时注入 sqlmap的使用)
joke_ljh的博客
06-02 6810
一些常见的SQL注入方法 一.联合注入 判断是否有注入点 ’ and 1=1–+ 猜列数 'order by 1–+ 一直猜到5报错,列数为4 猜库 'and 1=1改为and 1=2 'and 1=2 union select 1,2,3,4–+发现标题为2,内容为3,把2,3换成sql语句 'and 1=2 union select 1,user(),database(),4–+ ’ and ...
提交登入表单防止非法字符,sql注入js.
passport_daizi的博客
06-28 1万+
function checkLogin(){ var userName=document.getElementById("username").value; var userPass=document.getElementById("password").value; if(userName==''){ alert("用户名不能为空
nodejs中查询mysql防止SQL注入
cowcomic的专栏
08-03 6387
Performing queries The most basic way to perform a query is to call the .query() method on an object (like a Connection, Pool, or PoolNamespace instance). The simplest form of .query() is .query(sql...
js代码注入
WiFi_Uncle的专栏
10-11 4915
1. 什么是 JavaScript 注入攻击?每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。举个例子首先, 我在某个输入框中输入js代码<script type="
UUIDGenerator生成唯一编码
hqmln的博客
09-14 2950
生成唯一编码   import java.net.InetAddress; public class UUIDGenerator { /** * @param 通过处理Ip得到的整数值 */ private static final int IP; static { int ipadd; ...
ASP.NET HttpModule防止SQL注入实战
在本话题中,我们将探讨如何利用HttpModule来防止SQL注入攻击。 SQL注入是一种常见的网络安全漏洞,攻击者通过在输入字段中插入恶意SQL语句,试图获取、修改、删除数据库中的敏感信息。为了防止这种情况,开发者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值