签名校验,安全相关,MD5签名校验, keyWord防sql注入校验默

最新推荐文章于 2024-04-26 11:38:18 发布
最新推荐文章于 2024-04-26 11:38:18 发布
阅读量771 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jakeswang/article/details/52117417
版权
package com.lvmama.sso.web.mobile;

import java.io.PrintWriter;
import java.lang.reflect.Array;
import java.util.ArrayList;
import java.util.Collections;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import net.sf.json.JSONObject;

import org.apache.commons.codec.digest.DigestUtils;
import org.apache.commons.lang3.StringUtils;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.apache.struts2.ServletActionContext;

import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;

/** * md5签名校验 */

public class Md5Interceptor extends AbstractInterceptor {

    private static final long serialVersionUID = -3613423227784326900L;
    private static final Log logger = LogFactory.getLog(Md5Interceptor.class);
    private static final String MD5_SALT =

    @Override
    public String intercept(ActionInvocation invocation) throws Exception {

        HttpServletRequest request = ServletActionContext.getRequest();
        //需要校验且校验失败
        if (!check(request, invocation)) {
            return checkMd5Failed();
        }

        return invocation.invoke();
    }

    /**
     * 校验SIGN签名
     */
    private boolean check(HttpServletRequest request, ActionInvocation invocation) {
        String sign = request.getParameter("lvtukey");
        if (StringUtils.isBlank(sign)) {
            return false;
        }
        Map<String, Object> parameterMap = invocation.getInvocationContext().getParameters();
        String originSign = getSign(parameterMap);
        String expectSign = DigestUtils.md5Hex(originSign + MD5_SALT);
        boolean checkResult = sign.equals(expectSign);
        if(!checkResult) {
            logger.warn("md5签名校验失败,预期的签名->" + expectSign);
        }
        return checkResult;
    }

    public static String getSign(Map<String, Object> parameterMap) {
        List<String> keys = new ArrayList<String>(parameterMap.keySet());
        keys.remove("IS_DEBUG"); //剔除IS_DEBUG、sign两个参数
        keys.remove("lvtukey");

        Collections.sort(keys); //键值ASCII码递增排序

        StringBuilder sb = new StringBuilder();
        for (String key : keys) {
            Object value = parameterMap.get(key);
            if (value == null) {
                continue;
            }
            if (value.getClass().isArray()) {
                for (int i = 0; i < Array.getLength(value); i++) {
                    String item = Array.get(value, i).toString();
                    sb.append(key).append('=').append(item).append('&');
                }
            } else if(value instanceof List) {
                @SuppressWarnings("unchecked")
                List<Object> items = (List<Object>) value;
                for (Object item : items) {
                    sb.append(key).append('=').append(item.toString()).append('&');
                }
            } else {
                String str = value.toString();
                sb.append(key).append('=').append(str).append('&');
            }
        }
        if (sb.length() > 0) {
            sb.deleteCharAt(sb.length() - 1);
        }
        return sb.toString();
    }

    private String checkMd5Failed() {
        Map<String, Object> resultMap = new HashMap<String, Object>();
        resultMap.put("code", "-1");
        resultMap.put("errorMessage", "签名校验失败");
        resultMap.put("message", "该版本的第三方登录存在风险,建议升级为驴妈妈最新版本");
        sendAjaxResultByJson(resultMap);
        return null;
    }

    /**
     * 发送Ajax请求结果json
     */
    public void sendAjaxResultByJson(Map<String, Object> resultMap) {
        this.getResponse().setContentType("application/json;charset=UTF-8");
        this.getResponse().setCharacterEncoding("UTF-8");
        try {
            PrintWriter out = this.getResponse().getWriter();
            JSONObject jsonObj = JSONObject.fromObject(resultMap);
            out.write(jsonObj.toString());
            out.flush();
            out.close();
        } catch (Exception e) {
            //IGNORE
        }
    }

    private HttpServletResponse getResponse() {
        return ServletActionContext.getResponse();
    }

}



Returns a set from comma delimted Strings.

com.opensymphony.xwork2.util.TextParseUtil


 public void setExcludeMethods(String excludeMethods) {
        this.excludeMethods = TextParseUtil.commaDelimitedStringToSet(excludeMethods);
    }






package com.lvtu.service.api.rop.intercept;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import net.sf.json.JSONObject;

import org.apache.commons.lang3.StringUtils;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.apache.struts2.ServletActionContext;

import com.lvtu.utils.LvtuClientMemCacheConstants;
import com.lvtu.utils.cache.LvtuMemcachedUtil;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;

/**
 * 类描述:防止sql注入
 * 项目名称:client-clutter
 * 类名称:PreventSQLInjectInterceptor
 * 创建人:ltwangwei
 * 创建时间:2015-4-21 下午3:00:12
 * 修改人:ltwangwei
 * 修改时间:2015-4-21 下午3:00:12
 * 修改备注:
 * @version
 *
 */
public class PreventSQLInjectInterceptor extends AbstractInterceptor {
    
    private static final long serialVersionUID = -4421675513682811750L;
    private static final Log logger = LogFactory.getLog(PreventSQLInjectInterceptor.class);
    private static final String PATTERN_REGEX = "\\'|exec|execute|insert|select|delete|update|count|drop|\\*|\\%|chr|mid|master|truncate|" +  
            "char|declare|sitename|net user|xp_cmdshell|;|or|-|\\+|like\\'|exec|execute|insert|create|drop|" +  
            "table|from|grant|use|group_concat|column_name|" +  
            "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|\\*|" +  
            "chr|mid|master|truncate|char|declare|or|;|-|--|\\+|like|\\//|\\/|\\%|\\#|\\$";//过滤掉的sql关键字,可以手动添加
    /**
     * 是否需要防sql注入校验默认不需要
     */
    private static boolean checkFlag=false;

    @Override
    public String intercept(ActionInvocation invocation) throws Exception {
        
        
        //获取md5的counter
        long switchStatus = -1l;
        try {
            switchStatus = LvtuMemcachedUtil.getInstance()
                    .getCounter(LvtuClientMemCacheConstants.CUSTOMIZE_COUNTER_CONSTANTS.PREVENT_SQLINJECT_INTERCEPTOR_COUNTER.getCacheKey());
            //membercache 配置小于 -1 的时候走 检验
            if(switchStatus < -1l){
                checkFlag=true;
            }
        } catch (Exception e) {
            logger.info("memcached访问出错");
        }
        if(checkFlag){
            try {
                String uri = this.getRequest().getRequestURI();
                if(StringUtils.isNotBlank(uri) && uri.contains("router")){
                    @SuppressWarnings("unchecked")
                    Map<String, Object> paramMap = this.getRequest().getParameterMap();
                    if(null == paramMap || paramMap.isEmpty()){
                        return invocation.invoke();
                    }
                    for(String key : paramMap.keySet()){
                        if(StringUtils.isNotBlank(key) && "keyword".equals(key.toLowerCase())){
                            String str = ((String[])paramMap.get(key))[0];
                            if(this.sqlValidate(str)){
                                logger.error("sql注入攻击 param = " + str + ".........................");
                                Map<String,Object> resultMap = resultMapCreator();
                                resultMap.put("errorMessage", "关键字中包含敏感信息");
                                resultMap.put("message", "抱歉,您输入的信息有敏感信息,请您修改后重新输入!");
                                this.sendAjaxResultByJson(resultMap);
                                return null;
                            }
                        }
                    }
                }
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
        return invocation.invoke();
        
    }
    
    /**
     * 构造返回数据(返回-1)
     * @return
     */
    public Map<String,Object> resultMapCreator(){
        Map<String,Object> map = new HashMap<String,Object>();
        map.put("code","-1");
        return map;
    }
    
    /**
     * 发送Ajax请求结果json
     *
     * @throws ServletException
     * @throws IOException
     */
    public void sendAjaxResultByJson(Map<String,Object> resultMap) {
        this.getResponse().setContentType("application/json;charset=UTF-8");
        this.getResponse().setCharacterEncoding("UTF-8");
        try {
            PrintWriter out = this.getResponse().getWriter();
            JSONObject jsonObj = JSONObject.fromObject(resultMap);
            out.write(jsonObj.toString());
            out.flush();
            out.close();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    
    /**
     * 是否输入sql注入验证
     * @param name
     * @param @return 设定文件
     * @return String DOM对象
     * @Exception 异常对象
     * @since  CodingExample Ver(编码范例查看) 1.1
     */
    private boolean sqlValidate(String str){
        str = str.replaceAll(" ", "").toLowerCase();//统一转为小写
        Pattern p = Pattern.compile(PATTERN_REGEX);
        Matcher m = p.matcher(str); // 获取 matcher 对象
        return m.find();
    }
    
    /**
     * 获取HttpRequest
     *
     * @return
     */
    private HttpServletRequest getRequest() {
        return ServletActionContext.getRequest();
    }
    
    private HttpServletResponse getResponse() {
        return ServletActionContext.getResponse();
    }

    /**
     * @param args
     */
    public static void main(String[] args) {
        String regex = "\\'|exec|execute|insert|select|delete|update|count|drop|\\*|\\%|chr|mid|master|truncate|" +  
                "char|declare|sitename|net user|xp_cmdshell|;|or|-|\\+|like\\'|exec|execute|insert|create|drop|" +  
                "table|from|grant|use|group_concat|column_name|" +  
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|\\*|" +  
                "chr|mid|master|truncate|char|declare|or|;|-|--|\\+|like|\\//|\\/|\\%|\\#|\\$";//过滤掉的sql关键字,可以手动添加
        Pattern p = Pattern.compile(regex);
        Matcher m = p.matcher("where1=1"); // 获取 matcher 对象
        System.out.println(m.find());
    }
    
}



jakeswang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数字签名验证(MD5工具)
03-07
MD5验证工具非常实用的一款小软件!MD5是message-digest algorithm 5(信息-摘要算法)的缩写,被广泛用于加密和解密技术上,它可以说是文件的“数字指纹”。任何一个文件,无论是可执行程序、图像文件、临时文件或者其他任何类型的文件,也不管它体积多大,都有且只有一个独一无二的MD5信息值,并且如果这个文件被修改过,它的MD5值也将随之改变。因此,我们可以通过对比同一文件的MD5值,来校验这个文件是否被“篡改”过。
MD5接口签名认证
yhl_woniu的专栏
07-19 4751
 我方位数据源,与三方做数据对接要做的两件事情 1.因三方pull数据需要三方提供生产环境 IP 地址,我方配置IP白名单 2.三方公司会下发提供测试、生产环境的  securityKey=xxooYYxx 做签名认证,请求参数多加一个 signature=xxyyddd 通常会用MD5做数据签名认证 1.三方对请求参数做按字段顺序排序做加密 Map&lt;String,String&...
接口验证签名(md5)
最新发布
daizikui的博客
04-26 236
【代码】接口验证签名(md5)
Java对接口接收到的数据进行MD5签名验证
lv_haha的博客
08-11 871
Java对接口接收到的数据进行MD5签名验证
生成签名|验证签名--MD5
csdn记录
07-18 633
md5生成签名,验证签名
【实战篇】第20篇:SQL二次编码注入漏洞实例(附tamper脚本)1
08-03
SQL二次编码注入漏洞实例与tamper脚本 SQL二次编码注入漏洞是指...因此,在编程中,需要严格校验用户输入,SQL注入漏洞的发生。同时,需要定期对系统进行安全测试,检测可能存在的漏洞,并采取相应的护措施。
sql模糊查询
06-03
在实际开发中,直接将用户输入作为SQL语句的一部分存在安全隐患,特别是SQL注入攻击的风险。因此,建议使用参数化查询或预编译语句来提高安全性: ```csharp string sql = "SELECT * FROM a WHERE name LIKE @name...
二手书交易平台后端开发.docx
04-08
- **SQL注入护**:使用参数化查询等方式SQL注入攻击。 - **XSS护**:对用户输入的数据进行转义处理,止跨站脚本攻击。 #### 八、性能优化 随着用户数量的增长,系统的响应速度和并发处理能力成为优化的...
ssm分页及模糊查询源码下载
04-21
但是,如果不加以限制,用户可能会提交恶意输入,导致SQL注入安全问题。在描述中提到的“去掉了模糊查询非法输入的bug”,意味着源码可能包含了止此类攻击的改进,如使用预编译的PreparedStatement,或者对输入...
微信小程序搜索功能(附:小程序前端+PHP后端)
10-17
查询语句应当注意避免SQL注入风险,使用参数化查询。 3. 执行查询并获取结果。 4. 将查询结果编码为JSON格式并返回给前端。 5. 在实际应用中,还需要考虑对数据库查询结果的处理,如分页显示、结果排序等,并将...
MD5withRSA签名和验证签名(php>5.5)
12-06
MD5withRSA签名和验证签名(php>5.5)MD5withRSA签名和验证签名(php>5.5)
使用RSA、MD5对参数生成签名及接收方验签
08-05
使用RSA、MD5对参数生成签名及接收方验签
Android NDK 使用MD5+签名校验加密Token
weixin_43824520的博客
10-18 1140
Android NDK 使用MD5+签名校验加密Token
签名验证使用示例(MD5
AshenOne余烬
11-14 2167
1.定义常量: # 鉴权开关 signature.enable=false signature.secretkey=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx 2.引用常量: private @Autowired AccessConfigProperties accessConfigProperties; @Value("${signatur
数字签名md5校验
jzfjay的专栏
01-05 745
数字签名无论是为了止信息被篡改,还是为了止信息的伪造,都具有较高的安全性。而MD5校验则通常用于文件的校验、数据传输过程中的验证等方面。总之,数字签名MD5校验两者虽然有相似之处,但是应用场景、精度、验证方式等都存在一定的不同,需要根据具体的需求和情况来选择合适的验证方式。:数字签名使用公钥加密和私钥解密的机制来验证数据的安全性和完整性,而MD5校验则是对数据的摘要信息进行计算并比对的过程。:数字签名的精度极高,几乎不存在误判的情况。数字签名MD5校验都是用于验证数据的完整性和安全性。
关于签名校验的思考
haonan_z的博客
02-14 3816
前言 现实开发中,我们可能会遇到参数被串改的情况,所以一般一些重要的接口都会进行签名校验,用的比较多的是MD5。实现过程是前端和后端进行统一的签名方式和秘钥去生成签名,后端对比签名是否一致,不一致则直接拒绝访问,不再进行操作。 思考 上面的方式一直有个问题,私钥放前端,那不是很容易被有心的人给获取到,从而绕过签名校验吗,那要怎么样才能隐藏秘钥呢? 方式 直到我看到了一个预约的网页,他们的方式是先采取提前用一个不需要签名校验的接口去获取相关参数和对应的参数生成的签名,即由服务端先生成好,然后下一步的时候传相关
安卓逆向—霸哥磁力搜索apk过签名校验
爬虫进击之路
09-15 4529
一、什么是签名校验 签名验证,就是在APP中写入自己私钥的hash值,和一个获取当前签名中的私钥hash值的函数两个值相一致,那么就说明APP没有被改动允许APP运行。 如果两值不一致那么说明APP是被二次打包的,APP就自我销毁进程。 签名验证可以在两个地方做,一个是在MainActivity.java的OnCreate函数中做,一个是在原生代码文件的JNI_OnLoad函数中做。 二、验证是否是签名校验 用Android killer随意改下smail代码然后重新打包,发现APP闪退。 三、Jadx
Android应用安全范之签名校验
weixin_34405557的博客
03-13 334
2019独角兽企业重金招聘Python工程师标准>>> ...
php sql注入 关键字转义
chihouzi的博客
07-30 9682
//获取 $keyWord=$_REQUEST['username']; //如何止查询sql攻击 //对关键字进行过滤 $keyWord=addslashes($keyWord); $keyWord=str_replace("%","\%",$keyWord); $keyWord=Str_replace("_","\_",$keyWord); $sql="select * from news where title like '%$keyWord%'"; ...
MD5算法详解:文件校验与数字签名应用
由于MD5的输出具有全球唯一性(尽管理论上存在碰撞的可能性,但在实际应用中非常罕见),因此常用于文件校验、数字签名和登录认证等场景。 1. **MD5简介**: - MD5算法基于一套加密算法,通过不可逆的计算过程,将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值