针对原有项目 通用查询的拼接sql,防止sql注入的校验

已于 2023-04-21 20:31:52 修改
阅读量756 收藏 4
点赞数
分类专栏: java 文章标签: java sql
于 2021-02-24 16:28:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kd_bright/article/details/114026728
版权

接收到前端参数,对参数的值进行校验,收集了一些常见的绕过方式

public class CheckSqlParamUtils {
    /**
     * 对前端的传参进行校验,对除了了id外的每个参数进行校验,true为未通过sql注入校验
     * @param map
     * @return
     */
    private static final Logger logger = LoggerFactory.getLogger(CheckSqlParamUtils.class);
    public static boolean mapCheck(Map<String,String> map){
        if (map.isEmpty()){
            return false;
        }
        for (Map.Entry<String, String> entry : map.entrySet()) {
            if(!"id".equals(entry.getKey())){
                if (sqlCheck(entry.getValue())){
                    return true;
                }
            }
        }
        return false;
    }

    public static boolean sqlCheck(String sql) {
        sql = sql.toUpperCase();
        //注入字符校验
        String dangerWord = "exec|insert|select|delete|update|union|and|from|database|drop|create|like|rlike|regexp|count|chr|truncate|declare|or|join|offset" +
                "all|alter|kill" ;
        String dangerWordUpper = dangerWord.toUpperCase();
        String dangerWordArr[] = dangerWordUpper.split("\\|");
        for (int i = 0 ; i < dangerWordArr.length; i++ ) {
            String key = dangerWordArr[i];
            if(sql.contains(" " + key)
                    || sql.contains(key + " ")
                    || sql.contains(key+"(")){
                logger.info("未通过sql关键字校验,未通过值为",sql);
                return true;
            }
        }
        //注入函数校验
        String dangerFun = "mid(|char(|ascii(|substr(|abs(|rand(|exp(|concat(|CHARSET(|VERSION(|CONNECTION_ID(|COUNT(|" +
                "AVG(|sign(|INSERT(|greatest(|least(strcmp(|left(|right(|ascii(|hex(";
        if (containDangerKey(sql,dangerFun,"\\|")){
            logger.info("未通过sql函数校验,未通过值为",sql);
            return true;
        }
        //针对空格绕过校验
        String dangerBlank = "%20|%09|%0a|%0b|%0c|%0d|%a0|%00|/*|*/|/*!*/\\N|";
        if (containDangerKey(sql,dangerBlank,"\\|")){
            logger.info("未通过sql空格绕过校验,未通过值为",sql);
            return true;
        }
        //针对特殊字符校验
        String dangerMark = ".I;I:I#I%I+I-I=I//I@I\"I--I<I>I&&I||I`";
        if (containDangerKey(sql,dangerMark,"I")){
            logger.info("未通过sql特殊符号校验,未通过值为",sql);
            return true;
        }
      
        return false;
    }

    public static boolean containDangerKey(String sql, String dangerStr,String regex){
        String dangerStrLow = dangerStr.toLowerCase();
        String[] dangerStrs = dangerStrLow.split(regex);
        for (int i = 0; i < dangerStrs.length; i++) {
            String key = dangerStrs[i];
            if(sql.contains(key)) {
                return true;
            }
        }
        return false;
    }
}

kd_bright
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
tcp/ip协议的c语言实现
06-24
tcpip协议的c语言相关实现.。。服务器与客户端程序
正则校验windows和linux路径
weixin_43173924的博客
09-07 996
let winPath = /^[a-zA-Z]:(((\\(?! )[^/:*?<>\""|\\]+)+\\?)|(\\)?)\s*$/; let lnxPath = /^\/(\w+\/?)+$/i; if(!winPath.test(self.formItem.jarlocation) && !lnxPath.test(self.formItem.jarlocation)){ //校验不通过 }else{ //校验通过 } ...
JAVA范于未然:Java项目SQL注入四招
最新发布
一个天蝎座的程序猿
04-28 293
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列此时,数据库的数据都会被清空掉,后果非常严重。
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接查询字符串中,以提高应用程序的安全性。
Java项目防止SQL注入的方式总结
睡竹的博客
03-02 9520
Java项目防止SQL注入的方式总结 springboot配置请求过滤器防止SQL注入 nginx防止SQL注入 mybatis防止SQL注入
Wireshark抓包语句、抓包分析及校验和计算
Chenhui的博客
12-23 9683
文章目录一. Wireshark下载二. Wireshark抓取数据包1.抓取数据包2.常见的抓包过滤语句1. 过滤IP2.过滤端口3.过滤协议4.过滤MAC地址5.http模式过滤三.对数据包分析1. 物理层数据帧的分析2.数据链路层以太网帧头部信息3.网络层IP数据包头部信息4.传输层TCP数据段头部信息四. IP校验和计算 一. Wireshark下载 WireShark官网链接:https://www.wireshark.org/ 在官网的下载页面选择相应的下载文件进行下载,然后安装。  
java持久层框架mybatis防止sql注入的方法
09-01
2. **避免在XML配置中使用动态SQL(`<if>`,`<choose>`,`<when>`,`<otherwise>`等)时直接拼接SQL**:这些标签可能导致SQL注入,除非你能确保传入的参数是经过验证的。 3. **对输入参数进行校验**:在应用程序代码...
防止xss和sql注入:JS特殊字符过滤正则
12-01
对于SQL注入,预的最佳做法是始终使用参数化查询或预编译语句,避免直接将用户输入拼接SQL命令中。这能确保即使输入中有恶意SQL代码,也只会被视为普通文本,不会被执行。 总的来说,安全编程是Web开发中的重要...
Web安全之SQL注入
01-21
当Web应用程序的开发人员对用户所输入的数据不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接SQL被执行,获取数据库的信息以及提权,此时称发生了SQL注入攻击。 二、举个简单的例子 Web页面的...
防止sql注入解决方案
12-07
为了防止SQL注入,开发者需要采取一系列的预措施,确保应用程序的安全性。以下是一些核心的解决方案: 1. **预编译语句(PreparedStatement)**: 题目中提到的预编译语句是防止SQL注入的关键技术。预编译语句在...
自己动手编写SQL注入漏洞扫描工具
12-31
1. **SQL注入原理**:理解注入的基本机制,如通过拼接SQL语句、利用未验证的用户输入、执行特权命令等。 2. **SQL语法知识**:了解目标数据库系统(如MySQL、Oracle或SQL Server)的SQL语法,以便构造有效的测试...
C语言计算TCP/UDP校验
去见青山辽远,去赏江花无限
05-24 1001
TCP/UDP校验和详细讲解
wireshark开启校验
m0_65335865的博客
03-26 4677
WireShark开启IP, TCP,UDP校验和的办法 - 帅胡 - 博客园 (cnblogs.com)
TCP头校验和计算算法详解(转)
hairetz的专栏
06-10 1万+
当发送IP包时,需要计算IP报头的校验和:1、  把校验和字段置为0;2、  对IP头部中的每16bit进行二进制求和;3、  如果和的高16bit不为0,则将和的高16bit和低16bit反复相加,直到和的高16bit为0,从而获得一个16bit的值;4、  将该16bit的值取反,存入校验和字段。◆当接收IP包时,需要对报头进行确认,检查IP头是否有误,算法同上2、3步,然
C语言实现TCP/IP的checksum校验
流风回雪的博客
05-11 3503
Linux C语言实现TCP/IP的checksum校验和计算 一、sendip的TCP/IP的checksum计算 二、checksum的计算测试   在使用原始套接字发送/接收报文时,需要计算IP/TCP的checksum来验证报文的准确性,网上看了很多开源软件的实现(如SendIP、libdnet、Suricata),感觉SendIP的代码最简单,所以整理如下方便后面使用。 一、sendip的TCP/IP的checksum计算 1、sendip:GitHub - rickettm/Sen.
TCP校验和详细讲解和计算
忘世麒麟的专栏
09-02 1万+
首先看看TCP校验和计算原理: TCP校验字段占两个字节如0x62,0x0d,实际上是这样计算来的: 对方IP+我方IP+报文长度+信息长度+0x06(协议类型)+ TCP各字段长度以及数据各字段和(注意此时将对应的校验和字段--TCP的第17,18位,实际对应数组下标的16,17位--都设为0x00.同时 每两个字节组合为一个数值如0x01,0x02组合为0x0102,数据abc对应为0
如何防止sql恶意注入
m0_72345017的博客
09-13 1229
其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。如判断一下输入的参数的长度是否正常(注入语句一般很长), 更精确的过滤 则可以查询一下输入的参数是否在预期的参数集合中。在MyBatis中,“ $ {xxx}”这样格式的参数 会直接参与SQL编译 ,从而 不能避免注入攻击。$ {}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入
Linux和Windows的路径检查正则表达式
自我之象,犹在镜中
02-26 827
路径检查正则表达式
Java练习-----2.对Windows和Linux环境下输入的文件路径格式进行校验
HJT3050的博客
08-03 1148
Java学习
springboot防止sql注入
04-05
比如对于字符串类型的参数,需要使用PreparedStatement的setString方法,而不是直接拼接SQL语句。 5. 权限控制 在应用程序中,需要根据不同的用户权限,进行不同的SQL操作。比如只允许管理员进行删除操作,而普通...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值