StringEscapeUtils

最新推荐文章于 2022-09-04 18:02:54 发布
最新推荐文章于 2022-09-04 18:02:54 发布
阅读量2.4k 收藏 3
点赞数
分类专栏: 随笔杂谈 文章标签: SQL Spring 网络应用 JavaScript Apache ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_8381/article/details/81818297
版权

org.apache.commons.lang.StringEscapeUtils

类可以对js sql html xml等代码进行转义!用来处理前端js注入代码

SQL特殊字符转义

  应该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安全问题。网络中有大量讲解 SQL 注入的文章,感兴趣的读者可以搜索相关的资料深入研究。

  虽然 SQL 注入的后果很严重,但是只要对动态构造的 SQL 语句的变量进行特殊字符转义处理,就可以避免这一问题的发生了。来看一个存在安全漏洞的经典例子:

SELECT COUNT(userId)
FROM t_user
WHERE userName='”+userName+”' AND password ='”+password+”';

  以上 SQL 语句根据返回的结果数判断用户提供的登录信息是否正确,如果 userName 变量不经过特殊字符转义处理就直接合并到 SQL 语句中,黑客就可以通过将 userName 设置为 “1' or '1'='1”绕过用户名/密码的检查直接进入系统了。

  所以除非必要,一般建议通过 PreparedStatement 参数绑定的方式构造动态 SQL 语句,因为这种方式可以避免 SQL 注入的潜在安全问题。但是往往很难在应用中完全避免通过拼接字符串构造动态 SQL 语句的方式。为了防止他人使用特殊 SQL 字符破坏 SQL 的语句结构或植入恶意操作,必须在变量拼接到 SQL 语句之前对其中的特殊字符进行转义处理。Spring 并没有提供相应的工具类,您可以通过 jakarta commons lang 通用类包中(spring/lib/jakarta-commons/commons-lang.jar)的 StringEscapeUtils 完成这一工作:

  清单 4. SqlEscapeExample

package com.baobaotao.escape;
import org.apache.commons.lang.StringEscapeUtils;
public class SqlEscapeExample {
  public static void main(String[] args) {
    String userName = ”1' or '1'='1”;
    String password = ”123456”;
    userName = StringEscapeUtils.escapeSql(userName);
    password = StringEscapeUtils.escapeSql(password);
    String sql = ”SELECT COUNT(userId) FROM t_user WHERE userName='”
      + userName + ”' AND password ='” + password + ”'”;
    System.out.println(sql);
  }
}

  事实上,StringEscapeUtils 不但提供了 SQL 特殊字符转义处理的功能,还提供了 HTML、XML、JavaScript、Java 特殊字符的转义和还原的方法。如果您不介意引入 jakarta commons lang 类包,我们更推荐您使用 StringEscapeUtils 工具类完成特殊字符转义处理的工作。

 

 

------------------------------

 方法入参检测工具类

  Web 应用在接受表单提交的数据后都需要对其进行合法性检查,如果表单数据不合法,请求将被驳回。类似的,当我们在编写类的方法时,也常常需要对方法入参进行合法性检查,如果入参不符合要求,方法将通过抛出异常的方式拒绝后续处理。举一个例子:有一个根据文件名获取输入流的方法:InputStream getData(String file),为了使方法能够成功执行,必须保证 file 入参不能为 null 或空白字符,否则根本无须进行后继的处理。这时方法的编写者通常会在方法体的最前面编写一段对入参进行检测的代码,如下所示:

public InputStream getData(String file) {
  if (file == null || file.length() == 0|| file.replaceAll(”s”, ””).length() == 0) {
    throw new IllegalArgumentException(”file入参不是有效的文件地址”);
  }

}

  类似以上检测方法入参的代码是非常常见,但是在每个方法中都使用手工编写检测逻辑的方式并不是一个好主意。阅读 Spring 源码,您会发现 Spring 采用一个 org.springframework.util.Assert 通用类完成这一任务。

  Assert 翻译为中文为“断言”,使用过 JUnit 的读者都熟知这个概念,它断定某一个实际的运行值和预期想一样,否则就抛出异常。Spring 对方法入参的检测借用了这个概念,其提供的 Assert 类拥有众多按规则对方法入参进行断言的方法,可以满足大部分方法入参检测的要求。这些断言方法在入参不满足要求时就会抛出 IllegalArgumentException。下面,我们来认识一下 Assert 类中的常用断言方法:


断言方法     说明
notNull(Object object)     当 object 不为 null 时抛出异常,notNull(Object object, String message) 方法允许您通过 message 定制异常信息。和 notNull() 方法断言规则相反的方法是 isNull(Object object)/isNull(Object object, String message),它要求入参一定是 null;
isTrue(boolean expression) / isTrue(boolean expression, String message)     当 expression 不为 true 抛出异常;
notEmpty(Collection collection) / notEmpty(Collection collection, String message)     当集合未包含元素时抛出异常。notEmpty(Map map) / notEmpty(Map map, String message) 和 notEmpty(Object[] array, String message) / notEmpty(Object[] array, String message) 分别对 Map 和 Object[] 类型的入参进行判断;
hasLength(String text) / hasLength(String text, String message)     当 text 为 null 或长度为 0 时抛出异常;
hasText(String text) / hasText(String text, String message)     text 不能为 null 且必须至少包含一个非空格的字符,否则抛出异常;
isInstanceOf(Class clazz, Object obj) / isInstanceOf(Class type, Object obj, String message)     如果 obj 不能被正确造型为 clazz 指定的类将抛出异常;
isAssignable(Class superType, Class subType) / isAssignable(Class superType, Class subType, String message)     subType 必须可以按类型匹配于 superType,否则将抛出异常;



  使用 Assert 断言类可以简化方法入参检测的代码,如 InputStream getData(String file) 在应用 Assert 断言类后,其代码可以简化为以下的形式:

public InputStream getData(String file){
  Assert.hasText(file,”file入参不是有效的文件地址”);
  ① 使用 Spring 断言类进行方法入参检测

}

  可见使用 Spring 的 Assert 替代自编码实现的入参检测逻辑后,方法的简洁性得到了不少的提高。Assert 不依赖于 Spring 容器,您可以大胆地在自己的应用中使用这个工具类

iteye_8381
关注
专栏目录
一个处理字符串的工具类StringEscapeUtils
weixin_42551921的博客
10-30 861
最近有用到一个字符串处理类StringEscapeUtils,来自于apache工具包common-lang中,这个类能很方便的进行html,xml,java等的转义与反转义;需要注意的是,在进行反转义的时候,若字符串没有待转的字符,那么不会对字符串进行任何处理。StringEscapeUtils中都是静态方法,方便调用;这个版本还有sql转义防注入攻击的功能,在3.0版本后好像没有了就;CSV,HTML,XML,SQL,JAVA 等类型的字符串。将html的空格符号替换为空字符的功能;
StringEscapeUtils使用
SELECT_BIN的博客
10-29 1274
public static void main(String[] args) { String str = "thi is a test 这是一个测试"; String xml = "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n" + "<persons>\n" ...
StringEscapeUtils反转义处理
wolf_you的专栏
03-30 1510
从前端Nodejs传过来的JSON字符串突然由于安全问题进行了转义为了Unicode字符,将 " 转义为 &amp;#34;具体如下:String json = "[{&amp;#34;userId&amp;#34;:&amp;#34;3494&amp;#34;,&amp;#34;userName&amp;#34;:&amp;#34;Andy&amp;#34;,&amp;#34;effect&am..
commons-text包中的StringEscapeUtils实现快捷高效的JSON转义字符串的反序列化
Spring Boot-Common On With You
04-13 3998
前言 一般我们在处理简单的JSON字符串时,直接通过JSON工具类即可完成了,列如:FastJson、Jackson、Gson等,但是遇到一般的转义字符,就需要我们进行纯手工的操作了,小的JSON字符串内容还不说,如果一旦遇到较长的转义的JSON字符串就不行了,这将成为系统性能方面的一个瓶颈,如果解决这个问题呢,答案就是:“StringEscapeUtils ” 工具类咯。 St...
利用StringEscapeUtils对字符串进行各种转义与反转义(Java)
iteye_6274的博客
02-03 7653
apache工具包common-lang中有一个很有用的处理字符串的工具类,其中之一就是StringEscapeUtils,这个工具类是在2.3版本以上加上的去的,利用它能很方便的进行html,xml,java等的转义与反转义,而且还能对关键字符串进行处理预防SQL注入,不过好像common-lang3.0以后我看着好像没这个处理SQL语句的方法了,想用的话前提时引入对应的jar包,以下为它的部...
org.apache.commons.lang.StringEscapeUtils
03-23
解决json数据中,返回的数据格式中带有反斜杠 如下所示{\"Count\":\"3\",\"ErrorString\":\"\",\"Success\":true,\"URL\":\"http:\\\/\\\/172.16.80.65:8080\\\/LoginSSO.aspx?UserCode=wubg&Type=WorkItem\",\...
去转义字符方法使用:StringEscapeUtils.unescapeJava
qq_41732361的博客
06-30 2929
目录 一、背景 二、引依赖包 三、解决方法 四、解析源码 一、背景 工作中遇到表字段里面记录requestBody存放了转义字符,接口开发返回去转义字符; 二、引依赖包 <!-- https://mvnrepository.com/artifact/commons-lang/commons-lang --> <dependency> <groupId>commons-lang</groupId> <artifactId&
java 富文本转义_富文本 保存转义StringEscapeUtils.unescapeHtml4(
weixin_29912207的博客
02-27 918
StringEscapeUtils.unescapeHtml4(【org.apache.commons.lang.StringEscapeUtils.escapeHtml(str)】【StringEscapeUtilsString str = "baidu";/*** Spring的HtmlUtils进行转义*///<a href='http://www.baidu.com&#3...
StringEscapeUtils 工具特殊字符转码,防止xss攻击
mcband的博客
09-04 1480
防止xss存储型攻击
StringEscapeUtils - 测试类
牛八少爷的专栏
12-28 506
StringEscapeUtils测试: private static void StringEscapeTest() { String contentStr = StringEscapeUtils .escapeHtml4("&lt;a href='http://www.niubashaoye.com?userName=niu_123&amp;pwd=niuniu'&gt;访问网...
StringEscapeUtils的常用使用,防止SQL注入及XSS注入
热门推荐
小狮王的专栏
10-20 2万+
引入common-lang-2.4.jar中 一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能 官方参考文档 StringEscapeUtils.unescapeHtml(sname) 1.escapeSql 提供sql转移功能,防止sql注入攻击, 例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffe
StringEscapeUtils工具的使用
iteye_7017的博客
03-20 249
  StringEscapeUtils.escapeSql StringEscapeUtils.escapeHtml StringEscapeUtils.escapeJavaScript
java stringescapeutils_StringEscapeUtils的使用
weixin_35731493的博客
02-26 1717
StringEscapeUtils类可以对html js xml sql等代码进行转义来防止SQL注入及XSS注入添加依赖commons-langcommons-lang2.61.html脚本escapeHtml转义html脚本unescapeHtml反转义html脚本System.out.println(StringEscapeUtils.escapeHtml("abc"));System....
StringEscapeUtils的资料
u012632105的博客
06-25 96
commons-lang常用工具类StringEscapeUtils StringEscapeUtils的使用
java stringescapeutils_StringEscapeUtils防止xss攻击详解
weixin_33918358的博客
02-26 3031
StringUtils和StringEscapeUtils这两个实用类。1、转义防止xss攻击1、转义可以分为下面的几种情况第一用户输入特殊字符的时候,在提及的时候不做任何处理保持到数据库,当用户从数据库查询对对于的数据的时候,因为数据中存在特殊字符,要让特殊字符能够正常显示不被网页执行,需要对从数据库中查询出来的数据进行转义,比如用户输入一个左尖括号(例如在数据库中存储的数据是:(123)(*&...
java:StringEscapeUtils.unescapeJava去掉转义字符
a232884c的博客
01-07 1万+
java:StringEscapeUtils.unescapeJava去掉转义字符 1 场景 比如拿到一个字符串,格式如下: "{\\\"name\\\":\\\"xiaoxu\\\",\\\"age\\\":\\\"27\\\"}" 希望得到如下形式的字符串(json字符串,使用双引号): {"name":"xiaoxu","age":"27"} 可以使用StringEscapeUtils.unescapeJava去掉转义字符,\就是转义字符,可以将特殊含义的字符,比如换行符:\n,通过转义字符写法:
Java去转义字符工具类StringEscapeUtils.unescapeJava
weixin_38236028的博客
03-25 1万+
最近对接用友NC接口,发现通过阿里的fastjson创建的JSONObject对象转换成字符串后,再调用接口传递给NC会出现中文乱码现象,对方接收到的Json字符串中中文为????,经过测试后发现将json字符串中的转义字符去掉即可正常访问接口,但字符串的方法replaceAll并不能解决这个问题,查询后发现如下方法: 导入工具类: import org.apache.commons...
stringescapeutils.unescapejava
最新发布
06-28
### 回答1: stringescapeutils.unescapejava是一个Java类库中的方法,用于将Java字符串中的转义字符还原为原始字符。例如,将"\n"还原为换行符,将"\t"还原为制表符等。这个方法可以帮助开发者在处理Java字符串时更方便地处理转义字符。 ### 回答2: StringEscapeUtils.unescapeJava是Apache Commons Lang库提供的一个方法,用于将Java中的转义字符(比如"\\n", "\\t", "\\uXXXX"等)转化为对应的字符。具体地,该方法会将字符串中所有的反斜杠("\")和其后面的字符组合判断是否为一个转义字符,并将其替换为对应的字符。 在Java中,有一些字符是不能直接使用的,比如双引号、单引号、反斜杠等。为了让程序员仍然可以使用这些字符,Java使用了转义字符的方式来表示这些特殊字符。转义字符是以反斜杠("\")开头的一个或多个字符组合,在字符串中代表一个特殊的含义。例如,"\\n"代表换行符,"\\t"代表制表符,"\\uXXXX"代表一个Unicode字符等。 在Java中,由于转义字符的存在,有时候会遇到一个需要将字符串中的转义字符还原为对应的字符的情况(比如从网络传输的数据)。这时候,可以使用StringEscapeUtils.unescapeJava方法来完成这个任务。该方法会根据转义字符的定义,将字符串中的所有转义字符还原为其对应的字符,并返回最终的字符串结果。 需要注意的是,如果字符串中包含不合法的转义字符(比如"\\x"),则该方法会抛出IllegalArgumentException异常。此外,该方法也支持将Unicode字符转化为对应的字符。例如,"\\u0061"会被转化为字符"a"。 总的来说,StringEscapeUtils.unescapeJava是一个非常实用的方法,可以帮助我们处理字符串中的转义字符,让我们的程序更加健壮和稳定。 ### 回答3: stringescapeutils.unescapejava是一个Java开发中使用的方法,用于对Java字符串中的转义字符进行反转义操作。在Java中,字符串中可以使用转义字符来表示一些特殊的字符或者是控制字符,比如换行符、制表符、双引号等。这些转义字符可以让我们在字符串中插入一些特殊的符号,而不会出现语法错误。 但是,在某些情况下,我们需要将这些转义字符变为它们代表的字符。这时候就可以使用stringescapeutils.unescapejava方法了。这个方法可以将Java字符串中的所有转义字符都进行反转义,并将其转换为对应的字符。 使用stringescapeutils.unescapejava方法非常简单,只需要将需要反转义的字符串作为参数传入即可。方法会返回被反转义后的字符串。例如,假设我们要将一个字符串中的换行符和制表符进行反转义,可以按照如下方式使用该方法: String str = "hello\\nworld\\t!"; String unescapedStr = StringEscapeUtils.unescapeJava(str); System.out.println(unescapedStr); 运行结果为: hello world ! 在这个例子中,我们先定义了一个包含转义字符的字符串,并将其赋值给str变量。接着,我们将这个字符串传入StringEscapeUtils.unescapeJava方法中,方法返回被反转义后的字符串并将其赋值给unescapedStr变量。最后,我们使用System.out.println方法将反转义后的字符串输出到控制台中。 总之,stringescapeutils.unescapejava是一个非常实用的字符串反转义方法,在Java开发中经常被使用到。无论是在解析配置文件、处理日志信息、还是在网络编程中,使用这个方法都可以帮助我们更加方便地处理字符串中的转义字符。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值