使getParameter方法具有防SQL注入的功能

最新推荐文章于 2022-08-10 11:03:16 发布
最新推荐文章于 2022-08-10 11:03:16 发布
阅读量705 收藏
点赞数
文章标签: SQL Servlet C C++ C#
定义包装器对request进行包装,修改其内的getParameter方法,

使getParameter方法具有防SQL注入的功能


一、定义一个防SQL注入的类,目的在于转换一些特殊符号

public class SQLSafe{

public static String tran(String words){

if(words!=null){

if(words.indexOf("%0d%0a")>=0)

{

words = words.replace("%0d%0a", "");

}

StringBuffer stringbuffer = new StringBuffer();

int j = words.length();

for(int i = 0; i < j; i++)

{

char c = words.charAt(i);

switch(c)

{

case 60: stringbuffer.append("<"); break;

case 62: stringbuffer.append(">"); break;

case 39: stringbuffer.append("'");break;

case 34: stringbuffer.append("""); break;

case 169: stringbuffer.append("©"); break;

case 174: stringbuffer.append("®"); break;

case 165: stringbuffer.append("¥"); break;

case 8364: stringbuffer.append("€"); break;

case 8482: stringbuffer.append("™"); break;

case 13:

if(i < j - 1 && words.charAt(i + 1) == 10)

{stringbuffer.append("<br>");

i++;

}

break;

case 32:

if(i < j - 1 && words.charAt(i + 1) == ' ')

{

stringbuffer.append("  ");

i++;

break;

}

default:

stringbuffer.append(c);

break;

}

}

return new String(stringbuffer.toString());

}else{

return words;

}

}
public static String unTran(String words){

String result = "";

String strTo ="'";

int intFromLen = strTo.length();

int intPos = 0;

if(words==null||"".equals(words)){

return words;

}

while((intPos=words.indexOf("'"))!=-1){

result = result + words.substring(0,intPos);

result = result + strTo;

words = words.substring(intPos+intFromLen);

}

result = result + words;

return result;

}



public static boolean checkSql(String words,String[] sqls){

if(words==null||"".equalsIgnoreCase(words.trim()))

return false;

words = words.toLowerCase();



for(String s:sqls){



if(words.indexOf(s)!=-1&&s.length()==1&&s.indexOf("'")==-1)

return true;

if(words.indexOf(" "+s+" ")!=-1&&s.length()>1&&s.indexOf("'")==-1)

return true;

}

return false;

}

}
二、定义一个包装器类


import java.util.*;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;


public class ParameterRequestWrapper extends HttpServletRequestWrapper {

private Map params;

public ParameterRequestWrapper(HttpServletRequest request) {

super(request);

this.params=request.getParameterMap();;

}

public Map getParameterMap() {

return params;

}

public Enumeration getParameterNames() {

Vector l=new Vector(params.keySet());

return l.elements();

}

public String[] getParameterValues(String name) {

Object v = params.get(name);

if(v==null){

return null;

}else if(v instanceof String[]){

return (String[]) v;

}else if(v instanceof String){

return new String[]{(String) v};

}else{

return new String[]{v.toString()};

}

}

public String getParameter(String name) {

Object v = params.get(name);

if(v==null){

return null;

}else if(v instanceof String[]){

String []strArr=(String[]) v;

if(strArr.length>0){

return SQLSafe.tran(strArr[0]); //对经过getParameter的返回值进行防SQL注入

}else{

return null;

}

}else if(v instanceof String){

return SQLSafe.tran((String) v);

}else{

return v.toString();

}

}

}

第三、通过过滤器对request进行包装

ParameterRequestWrapper prw = new ParameterRequestWrapper((HttpServletRequest)request);//定义包装器对request进行包装

FChain.doFilter(prw, response);


这样就实现了对所有的request.getParameter()进行包装,令通过其传入的参数都经过SQLSafe的转码。达到防止直接在页面编辑区输入SQL代码而造成的SQL注入。
iteye_887
关注
Spring Boot 如何护 XSS + SQL 注入攻击 ?终于懂了!
m0_71777195的博客
03-21 1302
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
攻击JavaWeb应用[3]-SQL注入[1]
xiaoshan812613234的专栏
11-14 1825
注:本节重点在于让大家熟悉各种SQL注入在JAVA当中的表现,本想带点ORM框架实例,但是与其几乎无意,最近在学习MongoDb,挺有意思的,后面有机会给大家补充相关。 0x00 JDBC和ORM JDBC: JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问。
如何简化 SQL 语句之 UDF 实践
Kyligence
08-31 674
UDF(User Defined Function 用户自定义函数)是 SQL 环境中很关键的特性。通过写 UDF,开发者可以方便地插入常用的处理代码并在查询中使用。Apache Kylin 支持持久化的 UDF。来自华安保险的赵兴成特别带来了 Kylin 中 UDF 的分享,快跟着兴成一探究竟吧~ 背景 Apache Kylin 作为 OLAP 神器,在海量数据的多维分析方面优势明显,...
解决sql注入和xss漏洞
05-17 620
WebMvcConfig.java registry.addInterceptor(new SqlInjectInterceptor()).addPathPatterns("/**"); SqlInjectInterceptor.java @Component public class SqlInjectInterceptor implements HandlerInterceptor{ @Override public void afterCompletion(HttpSer.
java对字符串进行数据转换
hyty的博客
11-14 1145
public String CheckReplace(String s) { try { if ((s == null) || (s.equals(&quot;&quot;))) return &quot;&quot;; StringBuffer stringbuffer = new StringBuffer(); for (int i = 0; i &amp;lt; s.length(); i++) { ...
Java代码审计-SQL注入
as you know, nlp is fantasitc!
08-10 606
在执行executeQuery()方法时,如果没有对输入的数据进行提前处理,而是直接拼接到sql语句中,就可能造成sql注入,可以看做executeQuery()就是执行sql语句,而不会进行任何检查。这几个阶段,在预编译的过程中,数据库首先接收到的是带有占位符(?)的语句,解析生成语法树,并且缓存在cache中,然后接受对应的参数信息,从cache中取出语法树,设置参数,再执行优化和执行操作,占位符来代替数据的位置,注意先预编译再拼接数据,而不是拼接完数据之后再预编译(这样的预编译不起作用)...
基于ESAPI的sql注入jar包及使用示例.rar
10-17
**基于ESAPI的SQL注入技术** 在网络安全领域,SQL注入是一种常见的攻击手段,通过恶意构造SQL语句,攻击者可以获取、修改甚至删除数据库中的敏感数据。为了止这种攻击,开发人员通常会采用各种御策略,其中一...
js/sql注入简易工具 v1.0
12-02
js/sql注入简易工具 v1.0】是一款旨在帮助开发者范JavaScript与SQL注入攻击的源码工具。这款工具的设计目标是简化护过程,让用户能够快速地将其集成到项目中,有效提高系统的安全性。 JavaScript注入(JS...
getParameter sql注入
10-11
如果在代码中使用 getParameter 方法直接将用户输入拼接到 SQL 语句中,就可能造成 SQL 注入漏洞。 为了避免 SQL 注入漏洞,我们应该使用预编译语句或者参数化查询,来保证用户输入不会直接拼接到 SQL 语句中。预...
可注入SQL的代码、SQL注入
最新发布
04-17
但是需要注意的是,如果存储过程本身是可注入的(即,存储过程中包含动态SQL),那么这种方法将无法SQL注入。 8. **使用最小权限**:为每个数据库连接设置尽可能小的权限。也就是说,如果应用程序只需要对特定...
Jsp挖掘(2)-sql注入
thelostworld
05-11 1139
sql注入护一、常见获取变量request.getParameter() request.getCookies()护1:如何sql注入 数字型: Integer.parseInt(s)字符型: String.replace("'","''"); //oracle、 mssql String.replace("'","\\'");//mysql 护2:正则表达式过滤护3:使用参数化查询执行sql语句(预编译的方式)使用参数化查询执行sql语句(预编译的方式)&nb
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6307
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
代码审计之request.getParameter和request.getAttribute
发哥微课堂
08-18 971
1,前言 最近审计的java项目基本上都会用到request.getParameter和request.getAttribute,报的问题基本上就一个,就是跨站。 2,介绍 字面理解request.getParameter是获取请求参数,request.getAttribute是获取请求属性。先说request.getParameter,它可以获取get和post提交的参数,跨站问题在于它直...
sql注入方法
Winn~
01-20 1147
原创 2018-01-15 老刘 码农翻身1、什么是sql注入“原理非常简单,比如网站有个users表格,数据如下:” “这个网站有个功能,根据id来查看用户信息,http://xxxx.com/user?id=xxxx, 对应的SQL可能是这样的:”string sql =”SELECT id , name, age from users WHERE id=”+;如果用户在浏览器的URL 是 h
request.getParameter();的意思
热门推荐
IT_COOKIE_SAM的博客
10-02 12万+
对于httprequrest的request.getParameter()的作用,之前我只是在用它而不知道它到底有什么作用,今天看了一遍文章突然明白了其中的意思。    大致的内容如下: 这个form提交请求后,在你的action中 String name = request.getparameter("name"); 那么name的值就是“哈哈”    它是一种取参数的方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值