springboot自带filter实现sql防注入过滤器

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量2.4k 收藏 3
点赞数
分类专栏: java 文章标签: spring boot sql servlet
原文链接:https://blog.csdn.net/qimingzhennan_to/article/details/126347511
版权

原文地址:springboot自带filter实现sql防注入过滤器,可以全路径也可以自己设置过滤路径,还可以在全路径的时候选择放行某些路径不过滤。_qimingzhennan_to的博客-CSDN博客_springboot 防止sql注入

什么是sql注入

        SQL注入是比较常见的网络攻击方式之一,在客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令;它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。

sql注入可能产生的影响

        恶意用户可以未经授权访问您的应用程序并窃取数据。

他们可以更改,删除数据库中的数据并关闭您的应用程序。

黑客还可以通过执行数据库特定的系统命令来控制运行数据库服务器的系统。

1.过滤器SqlInjectFilter

SqlInjectFilter,实现javax.servlet.Filter接口。即在doFilter方法中实现具体逻辑。

@Slf4j
@WebFilter(urlPatterns = "/",filterName = "SqlInjectionFilter")
@Configuration
public class SqlInjectionFilter implements Filter {

    private static final Set<String> ALLOWED_PATHS = Collections.unmodifiableSet(new HashSet<>(
            Arrays.asList("")));

    private static final String SQL_REG_EXP = ".*(\\b(select|insert|into|update|delete|from|where|trancate" +
            "|drop|execute|grant|use|union)\\b).*";

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;

        CustomRequestWrapper requestWrapper = new CustomRequestWrapper(request);
        Map<String, Object> parameterMap = new HashMap<>();
        String path = request.getRequestURI().substring(request.getContextPath().length()).replaceAll("[/]+$", "");
        boolean allowedPath = ALLOWED_PATHS.contains(path);
        if (!allowedPath) {
            parameterMap = getParameterMap(parameterMap, request, requestWrapper);
            // 正则校验是否有SQL关键字
            for (Object obj : parameterMap.entrySet()) {
                Map.Entry entry = (Map.Entry) obj;
                Object value = entry.getValue();
                if (value != null) {
                    boolean isValid = isSqlInject(value.toString(), servletResponse);
                    if (!isValid) {
                        return;
                    }
                }
            }
        }
        filterChain.doFilter(requestWrapper, servletResponse);
    }

    private Map<String, Object> getParameterMap(Map<String, Object> paramMap, HttpServletRequest request, CustomRequestWrapper requestWrapper) {
        // 1.POST请求获取参数
        if ("POST".equals(request.getMethod().toUpperCase())) {
            String body = requestWrapper.getBody();
            if(StringUtils.isNotEmpty(body)){
                boolean jsonType = getJSONType(body);
                if(jsonType==true){
                    paramMap = JSONObject.parseObject(body, HashMap.class);
                }else {
                    String[] split = body.split("&");
                    for (int i = 0; i < split.length; i++) {
                        String[] split1;
                        split1 = split[i].split("=");
                        paramMap.put(split1[0],split1[1]);
                        split1 = null;
                    }
                }
            }else {
                Map<String, String[]> parameterMap = requestWrapper.getParameterMap();
                if (parameterMap != null && parameterMap.size() > 0) {
                    Set<Map.Entry<String, String[]>> entries = parameterMap.entrySet();
                    for (Map.Entry<String, String[]> next : entries) {
                        paramMap.put(next.getKey(), next.getValue()[0]);
                    }
                }
            }
        } else {
            Map<String, String[]> parameterMap = requestWrapper.getParameterMap();
            //普通的GET请求
            if (parameterMap != null && parameterMap.size() > 0) {
                Set<Map.Entry<String, String[]>> entries = parameterMap.entrySet();
                for (Map.Entry<String, String[]> next : entries) {
                    paramMap.put(next.getKey(), next.getValue()[0]);
                }
            } else {
                //GET请求,参数在URL路径型式,比如server/{var1}/{var2}
                String afterDecodeUrl = null;
                try {
                    //编码过URL需解码解码还原字符
                    afterDecodeUrl = URLDecoder.decode(request.getRequestURI(), "UTF-8");
                } catch (UnsupportedEncodingException e) {
                    e.printStackTrace();
                }
                paramMap.put("pathVar", afterDecodeUrl);
            }
        }
        return paramMap;
    }
    private boolean isSqlInject(String value, ServletResponse servletResponse) throws IOException {
        if (null != value && value.toLowerCase().matches(SQL_REG_EXP)) {
            log.info("入参中有非法字符: " + value);
            HttpServletResponse response = (HttpServletResponse) servletResponse;
            Map<String, String> responseMap = new HashMap<>();
            // 匹配到非法字符,立即返回
            responseMap.put("code", "999");
            responseMap.put("message","入参中有非法字符");
            response.setContentType("application/json;charset=UTF-8");
            response.setStatus(HttpStatus.OK.value());
            response.getWriter().write(JSON.toJSONString(responseMap));
            response.getWriter().flush();
            response.getWriter().close();
            return false;
        }
        return true;
    }

    private boolean getJSONType(String str){
        boolean result = false;
        if (StringUtils.isNotBlank(str)) {
            str = str.trim();
            if (str.startsWith("{") && str.endsWith("}")) {
                result = true;
            } else if (str.startsWith("[") && str.endsWith("]")) {
                result = true;
            }
        }
        return result;
    }

    @Override
    public void destroy() {

    }
}
设置请求装饰类

在拦截请求时,会读取HttpServletRequest的InputStream,而这种数据流一旦读取后,后续无法获取,故所以需要将请求在回写进请求中一份。

public class CustomRequestWrapper extends HttpServletRequestWrapper {
    private final String body;
    public CustomRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        StringBuilder sb = new StringBuilder();
        BufferedReader bufferedReader = null;
        try {
            InputStream inputStream = request.getInputStream();
            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream, StandardCharsets.UTF_8));
                char[] charBuffer = new char[512];
                int bytesRead = -1;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    sb.append(charBuffer, 0, bytesRead);
                }
            } else {
                sb.append("");
            }
        } catch (IOException e) {
            e.printStackTrace();
            throw e;
        } finally {
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                    throw e;
                }
            }
        }
        body = sb.toString();
    }
    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream bais = new ByteArrayInputStream(body.getBytes("UTF-8"));
        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }
            @Override
            public boolean isReady() {
                return false;
            }
            @Override
            public void setReadListener(ReadListener readListener) {
            }
            @Override
            public int read() {
                return bais.read();
            }
        };
    }
    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream(), StandardCharsets.UTF_8));
    }
    public String getBody() {
        return this.body;
    }
    @Override
    public String getParameter(String name) {
        return super.getParameter(name);
    }
    @Override
    public Map<String, String[]> getParameterMap() {
        return super.getParameterMap();
    }
    @Override
    public Enumeration<String> getParameterNames() {
        return super.getParameterNames();
    }
    @Override
    public String[] getParameterValues(String name) {
        return super.getParameterValues(name);
    }
}
本次过滤器是过滤的全部路径,如想要放行某些路径需要在 ALLOWED_PATHS这个数组中进行定义

如果你只是想自定义过滤路径的话,那么@WebFilter(urlPatterns = "/",filterName = "SqlInjectionFilter")这个注解中的urlPatterns就不要写"/"了,写你自己自定义过滤的路径。但需要注意如果想自定义过滤路径就不要在过滤器上添加  @Component、@Repository否则会因大的路径会把小的覆盖掉,具体可参考https://blog.csdn.net/weixin_42822484/article/details/107270672这个大佬的博客。

另外如想要过滤器生效,存在两种方式。

一、以bean注解来诠释次配置文件相关代码如下

@Configuration
public class FilterConfiguration {
    @Bean("sqlFilter")
    public SqlInjectionFilter sqlInjectFilter() {
        return new SqlInjectionFilter();
    }
    @Bean
    public FilterRegistrationBean<SqlInjectionFilter> sqlFilterRegistrationBean() {
        FilterRegistrationBean<SqlInjectionFilter> filterReg = new FilterRegistrationBean<>();
        filterReg.setFilter(sqlInjectFilter());
        filterReg.addUrlPatterns("/*");
        filterReg.setOrder(1);
        return filterReg;
    }
    @Bean
    public TomcatServletWebServerFactory webServerFactory() {
        TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
        factory.addConnectorCustomizers((Connector connector) -> {
            connector.setProperty("relaxedPathChars", "\"<>[\\]^`{|}");
            connector.setProperty("relaxedQueryChars", "\"<>[\\]^`{|}");
        });
        return factory;
    }

}
TomcatServletWebServerFactory为预防tomcat版本过高时,自动过滤特殊字符做出的配置,如tomcat配置在8.0以下,则不用考虑。

二、在springboot启动类上添加注解声明次过滤器

@ServletComponentScan(basePackages = "此处写你过滤器的全路径")
 

leveretz
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot项目止XSS攻击和sql注入
yy1209357299的博客
02-07 3565
springboot项目止XSS攻击和sql注入
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册FilterFilterServlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
SpringBoot中如何止XSS攻击和sql注入
最新发布
2302_77596945的博客
05-23 483
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
Springboot管理系统数据权限过滤(二)——SQL拦截器
朗朗的博客
12-14 547
上一节Springboot管理系统数据权限过滤——ruoyi实现方案对数据权限实现方案有了认识,本文将进一步优化权限过滤方案,实现对业务代码零入侵。回顾上一章中权限方案:为了实现对业务零入侵,实则是在SQL编写的时候,希望通过框架实现权限脚本的自动拼接,而非人为添加。 本文权限控制需要达到的效果:pom.xml文件 application.yaml UserDao.java UserMapper.java UserMapper.xml UserService.java UserController.java
代码审计 | SQL注入过滤器绕过
hackzkaq的博客
11-06 207
FILTER_VALIDATE_EMAIL过滤器不允许在邮件地址中出现空格符号,可以使用/**/来代替。在进行数据库操作时,需要使用PDO预处理的方式,SQL注入漏洞的产生。在示例代码中,用户输入的参数被直接用于执行SQL查询操作,这种方式存在潜在的安全风险。尽管代码中使用了过滤器进行过滤,但这种方式依然不足以止攻击者绕过过滤器,从而导致SQL注入漏洞。RFC不是非常严格,允许使用许多特殊字符。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
基于springboot实现SQL注入过滤器
zhangbeizhen18的博客
06-11 2734
记录:273 场景:以过滤器(Filter)的方式,对所有http请求的入参拦截,使用正则表达式匹配入参中的字符串。存在SQL注入风险的参数,中断请求,并立即返回提示信息。不存在SQL注入风险的参数,校验通过后,放入过滤器链,继续后续业务。......
SQL注入代码实现
lujunxuanlujunxuan的博客
04-09 476
SQL注入代码实现
SpringBoot 止XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3318
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSS和SQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
Day33:安全开发-JavaEE应用&SQL预编译&Filter过滤器&Listener监听器&访问控制
qq_61553520的博客
03-11 1041
小迪安全-Day33:安全开发-JavaEE应用&SQL预编译&Filter过滤器&Listener监听器&访问控制
java 过滤器filtersql注入实现代码
09-01
本文将详细介绍如何使用Java Filter实现SQL注入的功能。 首先,我们需要创建一个实现了`javax.servlet.Filter`接口的类,例如名为`XSSFilter`。这个类将负责拦截请求并处理可能存在的SQL注入风险。下面是一个...
C# MVC 过滤器SQL注入
09-15
C# MVC 过滤器SQL注入
SQL注入的5种方法
06-13
SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
SpringBootfilter过滤器(源代码)
01-27
SpringBootfilter过滤器 一、过滤器的作用和概述 1.1 简述 1.2 使用场景 二、自定义过滤的两种方式 2.1 第一种方式 2.1.1 启动类增加注解@ServletComponentScan 2.1.2 定义一个filter类 2.1.3. 测试 2.2 第二种...
springboot @WebFilter注解过滤器实现
08-24
SpringBoot @WebFilter注解过滤器实现 SpringBoot 框架提供了多种方式来实现过滤器,例如使用 Servlet Filter API 或者使用 Spring 的 HandlerInterceptor机制,但是 SpringBoot 2.x 版本中引入了新的 @WebFilter...
XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的...三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
SpringBootSql注入拦截器
pp_lan的博客
05-21 3861
https://www.cnblogs.com/wujiaxing/p/11180167.html
spring解决sql注入问题:自定义拦截器
lj1548259095的博客
11-30 8118
近期刚做完的restful接口项目用安全软件扫描后,出现blind sql inject高危漏洞,查看,程序里已经使用了PreparedStatement预编译sql,却仍不好使,找不出原因,最后不得已,自定义了一个sql注入拦截器,对含有非法攻击字符的接口输入参数进行拦截,再次扫描后,漏洞消失。具体实现如下:       一、自定义拦截器SqlInjectInterceptor,实现spri
SQL 过滤和筛选
热门推荐
Narak_Sun的博客
05-22 1万+
SQL 过滤和筛选 一、where子句将不满足条件的行过滤,并且紧随from子句 (1)数字、字符、日期 例子: ... WHERE ename='KING'; ... WHERE hire_date = '01-JAN-95' #默认日期格式 ... WHERE last_name = 'Smith' tips: 字符和日期要包含在‘ ’单引号中 字符大小写敏感,日期格式敏感 默认日期格式是...
帮我实现springbootsql注入的完整过滤器写法
06-09
好的,下面是一个完整的Spring BootSQL注入过滤器示例: ```java import org.springframework.core.annotation.Order; import org.springframework.stereotype.Component; import org.springframework.util.StringUtils; import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.regex.Matcher; import java.util.regex.Pattern; @Component @Order(1) public class SqlInjectionFilter extends OncePerRequestFilter { private static final String SQL_REGEX = "(?i)(\\b(select|update|delete|insert|create|drop|alter|truncate|grant|revoke|backup|restore)\\b)|(\\b(and|or)\\b.+?(=|>|<|>=|<=|<>|!=|!<|!>)|\\b(in|like|regexp|sounds)\\b.+?\\()"; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String method = request.getMethod(); if ("GET".equals(method)) { String queryString = request.getQueryString(); if (!StringUtils.isEmpty(queryString)) { String filteredQuery = filter(queryString); request = new FilteredGetRequest(request, filteredQuery); } } else if ("POST".equals(method)) { String contentType = request.getContentType(); if (contentType != null && contentType.contains("application/x-www-form-urlencoded")) { String body = HttpHelper.getBodyString(request); if (!StringUtils.isEmpty(body)) { String filteredBody = filter(body); request = new FilteredPostRequest(request, filteredBody); } } } filterChain.doFilter(request, response); } private static String filter(String input) { Pattern pattern = Pattern.compile(SQL_REGEX); Matcher matcher = pattern.matcher(input); String filteredInput = matcher.replaceAll(""); return filteredInput; } private static class FilteredGetRequest extends HttpServletRequestWrapper { private String filteredQuery; public FilteredGetRequest(HttpServletRequest request, String filteredQuery) { super(request); this.filteredQuery = filteredQuery; } @Override public String getQueryString() { return filteredQuery; } } private static class FilteredPostRequest extends HttpServletRequestWrapper { private String filteredBody; public FilteredPostRequest(HttpServletRequest request, String filteredBody) { super(request); this.filteredBody = filteredBody; } @Override public String getParameter(String name) { String value = super.getParameter(name); if (value != null) { return filter(value); } return null; } @Override public String getHeader(String name) { String value = super.getHeader(name); if (value != null) { return filter(value); } return null; } @Override public ServletInputStream getInputStream() throws IOException { return new FilteredServletInputStream(super.getInputStream(), filteredBody); } @Override public BufferedReader getReader() throws IOException { return new BufferedReader(new FilteredStringReader(super.getReader(), filteredBody)); } private static class FilteredServletInputStream extends ServletInputStream { private InputStream inputStream; private String filteredBody; public FilteredServletInputStream(InputStream inputStream, String filteredBody) { this.inputStream = inputStream; this.filteredBody = filteredBody; } @Override public int read() throws IOException { return inputStream.read(); } @Override public boolean isFinished() { return false; } @Override public boolean isReady() { return false; } @Override public void setReadListener(ReadListener readListener) { } } private static class FilteredStringReader extends StringReader { private String filteredBody; public FilteredStringReader(Reader reader, String filteredBody) { super(filteredBody); this.filteredBody = filteredBody; } @Override public int read(char[] cbuf, int off, int len) throws IOException { return super.read(cbuf, off, len); } } } } ``` 在该过滤器中,首先判断请求的方法是GET还是POST,然后对请求参数进行过滤。 对于GET请求,可以通过`getQueryString`方法获取查询字符串并进行过滤,然后将过滤后的查询字符串封装到`FilteredGetRequest`类中,并将该封装后的请求对象传递给过滤器链中的下一个过滤器。 对于POST请求,需要判断请求的Content-Type是否为"application/x-www-form-urlencoded",如果是,则需要获取请求的Body并进行过滤,然后将过滤后的Body封装到`FilteredPostRequest`类中,并将该封装后的请求对象传递给过滤器链中的下一个过滤器。 在`filter`方法中,使用正则表达式对查询字符串或请求Body进行过滤,以SQL注入攻击。 需要注意的是,上述示例仅仅是一个简单的SQL注入过滤器示例,实际情况下可能需要更加复杂的过滤逻辑。另外,在使用任何过滤器时,都需要仔细测试和验证,确保不会对系统产生不必要的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值