应用反射技术和责任链模式-----------实现反SQL注入和反SCRIPT注入

最新推荐文章于 2022-04-15 16:24:49 发布
最新推荐文章于 2022-04-15 16:24:49 发布
阅读量571 收藏
点赞数
分类专栏: 设计模式 文章标签: sql string object class exception null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jasontome/article/details/6370983
版权

     本例应用反射技术和责任链模式实现了反SQL注入和反SCRIPT注入这个功能。它对于系统来说是可插拨的,这样就实现了与系统的松散耦合。
    它的主要思想是:把Form对象,PO对象以及VO等对象中的String型属性的值进行过滤后重新封闭为原有类型的对象。在获取对象的时候应用了java反映技术,在进行过滤的时候,实现了链式过滤。这样做,就是为了达到可维护性,可扩展性,可重用性以及灵活性的目的。
    以下是源代码:

 

public class Request {
    // 存储需要过滤的字符串
    private String requestStr;
    public String getRequestStr() {
        return requestStr;
    }
    public void setRequestStr(String requestStr) {
        this.requestStr = requestStr;
    }
}


public class FilterConstant {
    public static String[][] sqlFilter = {{";",""},{"'",""},{"--",""},{"%",""}}; //定义sql过滤的内容
    public static String[][] scriptFilter = {{"<","&lt;"},{">","&gt;"}};         //定义script过滤的内容

}


public interface IFilter {
    void doFilter(Request request, FilterChain chain);
    }


public class ScriptFilter implements IFilter {
    @Override
    public void doFilter(Request request, FilterChain chain) {
        if (request != null) {
            String strRequest = request.getRequestStr();
            String[][] scriptFilter = FilterConstant.scriptFilter;
            for (String[] strings : scriptFilter) {
                strRequest = strRequest.replace(strings[0], strings[1]);
            }
            request.setRequestStr(strRequest);
        }
        chain.doFilter(request, chain);

    }
}


public class SqlFilter implements IFilter {
    @Override
    public void doFilter(Request request, FilterChain chain) {
        if (request != null) {
            String strRequest = request.getRequestStr();
            String[][] scriptFilter = FilterConstant.sqlFilter;
            for (String[] strings : scriptFilter) {
                strRequest = strRequest.replace(strings[0], strings[1]);
            }
            request.setRequestStr(strRequest);
        }
        chain.doFilter(request, chain);
     
    }
}


import java.util.ArrayList;
import java.util.List;

public class FilterChain implements IFilter {
    // 使用 List 保存过滤器
    private List<IFilter> filters = new ArrayList<IFilter>();
    private int index = 0;
    // 用于添加过滤器,可以添加实现了IFilter接口的FilterChain
    public FilterChain addFilter(IFilter f) {
        this.filters.add(f);
        return this;
    }
    @Override
    public void doFilter(Request request,  FilterChain chain) {
        // 判断是否是否遍历到 List 的最大值,如果是 return
        if (index == filters.size())
            return;
        // 逐一获取过滤器
        IFilter f = filters.get(index);
        // 此过滤器链的下标,是遍历过滤器的索引
        index++;
        // 使用列表中的第index个过滤器,将更改后的 request ,chain 传进去,
        f.doFilter(request,chain);
        index = 0;
    }
}

public class FilterHelper {
    /*
     * 过滤方法,实现链式过滤;传入String ,返回String;
     *
     */
    public static String doFilter(String str) throws Exception {
        if(str==null||str=="")return null ;
        Request request = new Request();
        request.setRequestStr(str);
        FilterChain fChain = new FilterChain();
        fChain.addFilter(new SqlFilter()).addFilter(new ScriptFilter());
        fChain.doFilter(request, fChain);
        return request.getRequestStr();
    }
}



import java.lang.reflect.Field;

public class Filter {
    /*
     * 参数:Object,接收ActionForm,Plain Object,View
     * Object;它们的属性值应为单值类型,不能为复合类型或数组类型; 返回值:Object; 作用:根据已定义的过滤规则,过滤所传入Object值;
     */
    public static Object objectFilter(Object obj) throws Exception {
        if (obj == null)
            return obj;
        Class clazz = obj.getClass();
        if (clazz.isArray() || clazz.isInterface() || clazz.isPrimitive())
            return obj;
        Field[] fds = clazz.getDeclaredFields();
        for (Field field : fds) {
            if (field.getType().getName().equals("java.lang.String")) {
                field.setAccessible(true);
                Object before = field.get(obj);
                if(before!=null)
                field.set(obj, FilterHelper.doFilter(before.toString()));
            }
        }
        return obj;
    }
}



    以上内容为全部核心代码;

使用方法:在struts1.x中,
   可照此样调用:
        CaseForm caseForm = (CaseForm) form;
        caseForm =(CaseForm)Filter.objectFilter(caseForm); //重写Form的内容;

JasonTome
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反射实现动态初始化责任链
weixin_34342905的博客
07-25 195
有一个DNS服务器项目(其实是最近在做的一个智能DNS项目)的过滤模块,现有如下需求:1.能准确判断出用户IP地址是否合法,及用户IP是否位于黑名单中;2.用户请求查询的主机名是否合法,机主机名是否位于黑名单中。要实现对以上用户请求过滤。后期可能还要实现对ddos***请求的过滤。由于前一段时间了解了一下责任链模式,所以决定用责任链模式实现该模块。类结构图如下所示(图...
反射机制+责任链的设计模式demo
opzoonzhuzhengke的专栏
09-15 1096
直接贴代码: 反射工具包 package com.zzk.cn; import java.lang.reflect.Method; import java.util.List; /**  * Object 处理类  *  * @author zhengke.zzk  */ public class ObjectInstance {     /**
职责链模式+策略模式+反射,完美实现下机操作(二)
陌上花开,可缓缓归矣
07-09 2788
上篇博客中介绍了如何应用职责链模式对上机时间进行处理,现在时间得到了,该怎么利用上机时间计算出上机消费金额呢? 策略模式(Strategy):它定义了算法家族,分别封装起来,让它们之间可以互相替换,此模式让算法的变化不会影响到算法的客户。 这么看来,策略模式是非常适合用来处理机房收费系统的收银操作的。定义一个抽象算法类,BL_STG_CashSuper,会员用户和临时用户的收费算法分别写到BL
设计模式学习笔记——责任链(Chain of Responsibility)模式
Switch的博客
04-13 809
设计模式学习笔记——责任链(Chain of Responsibility)模式@(设计模式)[设计模式, 责任链模式, chain of responsibility]设计模式学习笔记责任链Chain of Responsibility模式 基本介绍 责任链案例 类图 实现代码 Trouble类 Support抽象类 NoSupport类 LimitSupport类 OddSupport类 Spe
责任链模式详解 (附java语言源码)
热门推荐
数据知道的博客
06-24 2万+
责任链模式(Chain of Responsibility Pattern): 为解除请求的发送者和接收者之间的耦合,而使多个对象都有机会处理这个请求。将这些对象连成一条链,并沿着这条链传递该请求,直到有对象处理它。(Avoid coupling the sender of a requestits receiver by giving more than one object a chance...
XSS-SQL-Master-Payloads:我的有效载荷集合(XSS,SQL ...)
05-01
在网络安全领域,XSS(跨站脚本攻击)和SQL注入是两种常见的攻击手段,它们对网站的安全构成严重威胁。有效的payload(有效载荷)是这些攻击的关键组成部分,能够帮助攻击者绕过防护机制,获取敏感数据或控制用户...
1026-老师笔记1
最新发布
08-03
本文将深入探讨七个关键的网络安全和Web应用安全知识点,包括SQL注入、XSS攻击、文件上传、文件包含、命令执行、代码审计和日志分析。这些是网络安全专业人士和IT专家在保护系统和数据时需要密切关注的领域。 1. ...
深信服AF高级-A卷78分.docx
06-24
6. **Web应用防护**:深信服AF的Web应用防护功能可以防御SQL注入、XSS攻击(跨站脚本)和跨站请求伪造,但不包括Worm漏洞攻击,因为Worm通常是指蠕虫病毒,不直接归类为Web应用攻击。所以,D选项是不属于Web应用防护...
【精品】云鼎实验室-Web漏洞与企业安全实例讲解77页.pptx
07-08
Web漏洞是Web安全的核心,包括但不限于跨站脚本(XSS)、跨站请求伪造(CSRF)、页面操作劫持、SQL注入、文件上传漏洞、文件包含漏洞、命令执行漏洞以及身份证认证与会话管理问题。以XSS为例,它是因为对用户输入...
如何进行跨站脚本攻击--原理、检测与防御
07-06
### 如何进行跨站脚本攻击--原理、检测与防御 #### 一、跨站脚本攻击(XSS)概述 跨站脚本攻击(Cross-Site Scripting,简称XSS)是Web应用中最...开发者应持续关注最新的安全实践和技术,以保持其应用程序的安全性。
SQL注入漏洞
haoge1998的博客
04-15 1148
SQL注入漏洞 1、注入攻击的核心点: 拼接有效的语句或代码 确保完成闭合,并且可以改变原有执行逻辑 2、防护: 从代码和sql语句的逻辑层面考虑,不能轻易让密码对比失效 基于用户输入的引号(单引号和双引号)进行转义处理,可以使用PHP内置函数addslashes进行强制转义。 使用mysqli的预处理功能 一、查询注入的数据类型 注入类型可以分为三类: 1、数字型 select * from tables where id = 1; 2、字符型 select * from tables whe
Spring中如何使用责任链模式
weixin_33910460的博客
05-29 1万+
2019独角兽企业重金招聘Python工程师标准>>> ...
责任链模式 多条链路时 spring单例 造成的深坑
乔志勇笔记
04-11 1891
https://mp.weixin.qq.com/s/ipXPMtPawDdESMJYrYthcQ 一)线上事故: 催收系统每日自动分配案件时一直正常,突然某一天(2018-3-27)以后 案件分配不均匀,一系列追踪下查到原因是责任链 有一环 未被执行(kibana上当天2018-3-27 以后 未查看相应的日志记录) ,很奇怪 ,重启服务后 第二天 结果恢复正常 (二)分析问题: ...
关于NSNotification通知的使用
技术熊的博客小窝
10-21 3260
通知用起来说,还是蛮方便,蛮顺手的。有了通知,能够解决很多问题。NSNotification的使用可以分为三步走,或者四步走。 先说四步走第一步:创建一个通知对象+ (instancetype)notificationWithName:(NSString *)aName object:(id)anObject; + (instancetype)notificationWithName:(NSStr
责任链模式实现链路中注入服务
老张的便利贴
07-02 733
前言 项目中使用到责任链模式重构代码,每个责任的链路中需要引用其他服务方法。按一般责任链的写法是new 链路对象,此时则不适用。 正文 主要思路是采用接口+Ordered类。 接口: public interface BaseHandler extends Ordered { boolean doHandle(InputDTO inputDto); } 链路实现: @Component public class FirstHandler implements BaseHandler { @Autow
项目中运用责任链创建校验器
如漩涡的博客
05-02 2126
前言 近期在做一个数据导入项目,有一个模版选择,模版中可以选择对导入的字段进行效验,例如非空,长度,格式,类型等,如若放在一个类中的话,大量的臃肿代码免不了,例如“if”这样的,那就运用责任链模式,各做各的判断。看到这篇文章不明白责任链的同学们去翻我的上篇文章。 思路 用责任链设计模式来构造这个项目,每个判断做成一个校验器,将每个校验器做成链子,一个接一个的做。库中有五个校验器,...
行为类模式:观察者模式VS责任链模式
孤芳不自赏
09-29 870
为什么要把观察者模式和责任链模式放在一起对比呢?看起来这两个模式没有太多的相似性,真没有吗?回答是有。我们在观察者模式中也提到了触发链(也叫做观察者)的问题,一个具体的角色既可以是观察者,也可以是被观察者,这样就形成了一个观察者链。这与责任链模式非常类似,他们都实现了事务的链条化处理,比如说在上课的时候你睡着了,打鼾声音太大,盖过了老师讲课声音,老师火了,捅到了校长这里,校长也处理不了,然后告状给...
设计模块一(责任链 ChainFilter 模式)
qq5132834的专栏
02-21 1721
多态。Java中多态的实现方式:接口实现,继承父类进行方法重写,同一个类中进行方法重载。 1、定义一个接口: 功能:字符过滤。 package com.bjsxt.dp.filter; public interface Filter { String doFilter(String str); } 2、实现这个接口类一: 功能:笑脸转变。 package com.bjsx
SQL注入实战:sqli-labs实验详解
"sqli-labs实验指导手册详细介绍了如何通过搭建sqli-labs实验平台来学习和实践SQL注入攻击及防御。本实验手册主要针对基于单引号的字符型联合注入进行深入解析,帮助读者理解SQL注入的原理,并提供逐步解密数据库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值