封装HashMap加入URLdecoder解码器,防注入

最新推荐文章于 2023-01-10 18:05:02 发布
最新推荐文章于 2023-01-10 18:05:02 发布
阅读量558 收藏
点赞数
分类专栏: 问题分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luman1991/article/details/52640249
版权

其中URLDecoder.decode有个好处,就是防止%sql注入,当然对其他字符无效了,当在input输入用户名时候‘10001%’,经过后台先获取,并解码,会报错:

package test;

import java.io.UnsupportedEncodingException;
import java.net.URLDecoder;

public class Test1 {

	public static void main(String[] arg0) {
		String target = "1001%";
		String charset = "UTF-8";
		try {
			/*
			 * System.out.println("---------URLDecoder处理前:--------" + target +
			 * "--->处理后===" + URLEncoder.encode(target, charset));
			 */
			System.out.println("---------URLDecoder处理前:--------" + target
					+ "--->处理后===" + URLDecoder.decode(target, charset));
		} catch (UnsupportedEncodingException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}

	}
}

报错如下:

Exception in thread "main" java.lang.IllegalArgumentException: URLDecoder: Incomplete trailing escape (%) pattern
	at java.net.URLDecoder.decode(URLDecoder.java:187)
	at test.Test1.main(Test1.java:17)

项目中用的是springMVC进行异常处理: 

<bean id="exceptionResolver" class="com.ailk.base.exception.CustomSimpleMappingExceptionResolver">  
	    <!-- 定义默认的异常处理页面,当该异常类型的注册时使用 -->  
	    <property name="defaultErrorView" value="error/failure"></property>  
	    <!-- 定义需要特殊处理的异常,用类名或完全路径名作为key,异常页名作为值 -->  
	    <property name="exceptionMappings">  
	        <props>  
	            <prop key="com.ailk.base.exception.SystemException">/error/500</prop>
	            <prop key="com.ailk.base.exception.BusinessException">/error/error</prop>
	            <prop key="java.lang.exception">error/500</prop> 
	        </props>  
	    </property>  
	</bean> 
package com.ailk.base.exception;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.handler.SimpleMappingExceptionResolver;

public class CustomSimpleMappingExceptionResolver extends
		SimpleMappingExceptionResolver {

	@Override
	protected ModelAndView doResolveException(HttpServletRequest request,
			HttpServletResponse response, Object handler, Exception ex) {
		// Expose ModelAndView for chosen error view.
		String viewName = determineViewName(ex, request);
		if (viewName != null) {// JSP格式返回
			System.out.println("------------------------------>>>1 " + (request.getHeader("accept").indexOf("application/json") > -1));
			System.out.println("------------------------------>>>2 " + (request
					.getHeader("X-Requested-With") != null && request
					.getHeader("X-Requested-With").indexOf("XMLHttpRequest") > -1));
			if (!(request.getHeader("accept").indexOf("application/json") > -1 || (request
					.getHeader("X-Requested-With") != null && request
					.getHeader("X-Requested-With").indexOf("XMLHttpRequest") > -1))) {
				// 如果不是异步请求
				// Apply HTTP status code for error views, if specified.
				// Only apply it if we're processing a top-level request.
				Integer statusCode = determineStatusCode(request, viewName);
				if (statusCode != null) {
					applyStatusCodeIfPossible(request, response, statusCode);
				}
				return getModelAndView(viewName, ex, request);
			} else {// JSON格式返回
				try {
					System.out.println("------------------------------>>>enter into json " + ex.getMessage());
					PrintWriter writer = response.getWriter();
					System.out.println("------------------------------>>> " + ex.getMessage());
					writer.write(ex.getMessage());
					writer.flush();
				} catch (IOException e) {
					System.out.println("------------------------------>>> <<<--------------------------");
					e.printStackTrace();
				}
				return null;

			}
		} else {
			return null;
		}
	}
}


所以,有效的解决了sql注入。网上还有的方法更直接,就是过滤器过滤直接粘过来:

配置拦截器

 
<!‐‐ 拦截器配置‐‐>
<mvc:interceptors>
<!‐‐ SQL注入拦截‐‐>
<mvc:interceptor>
<mvc:mapping path="/**"/>
<bean class="com.data.job.util.interceptor.SqlInjectInterceptor"></bean>
</mvc:interceptor>
</mvc:interceptors>
/**
* 防止SQL注入的拦截器
*
* @author tyee.noprom@qq.com
* @time 2/13/16 8:22 PM.
*/
public class SqlInjectInterceptor implements HandlerInterceptor {
public boolean preHandle(HttpServletRequest request, HttpServletResponse response
Enumeration<String> names = request.getParameterNames();
while (names.hasMoreElements()) {
String name = names.nextElement();
String[] values = request.getParameterValues(name);
for (String value : values) {
value = clearXss(value);
}
}

/**
* 处理字符转义
*
* @param value
* @return
*/
private String clearXss(String value) {
if (value == null || "".equals(value)) {
return value;
}
value = value.replaceAll("<", "<").replaceAll(">", ">");
value = value.replaceAll("\\(", "(").replace("\\)", ")");
value = value.replaceAll("'", "'");
value = value.replaceAll("eval\\((.*)\\)", "");
value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']",
"\"\"");
value = value.replace("script", "");
return value;
}



黄金分割线

===================================================================================================================

自己项目的代码

@ResponseBody
	@RequestMapping(value = "login.htm")
	public Map<String, Object> login(HttpServletRequest request, HttpServletResponse response) {
		boolean result = false;
		IMap _staffMap = new IMap();
		IMap params = new IMap(request);

IMap封装了HashMap,以下封装代码:

// 从页面获取数据
	public IMap(HttpServletRequest request) {
		this.request = request;
		// 返回值Map
		returnMap = new HashMap<String, Object>();
		// 参数Map
		//@SuppressWarnings("unchecked")
		@SuppressWarnings("unchecked")
		Map<String, String[]> properties = request.getParameterMap();
		Set<Map.Entry<String, String[]>> entrySet = properties.entrySet();
		for (Map.Entry<String, String[]> entry : entrySet) {
			String key = (String) entry.getKey() == null ? null : convert2Decode((String) entry.getKey(), charset);
			Object valueObj = entry.getValue();
			String value = "";
			if(null == valueObj){
				value = "";
			}else if(valueObj instanceof String[]){
				String[] values = (String[])valueObj;
				for(int i=0;i<values.length;i++){
					value = values[i].trim();
					if (request.getMethod().equalsIgnoreCase("get")) {
						value = values == null ? null : convert2Character(value, charset);
					}
					value = values == null ? null : convert2Decode(value, charset) + ",";
				}
				value = value.substring(0, value.length()-1);
			}else{
				value = valueObj.toString();
			}
			returnMap.put(key, value);
		}
	}

private static String convert2Decode(String target, String charset){
		try {
			System.out.println("---------URLDecoder处理前:--------" + target +"--->处理后===" + URLDecoder.decode(target, charset));
			return URLDecoder.decode(target, charset);
		} catch (UnsupportedEncodingException e) {
			return target;
		}
	}
	
	public String convert2Character(String target, String charset) {
        System.out.println("编码转换之前:" + target);
        try {
            return new String(target.trim().getBytes("ISO-8859-1"), charset);
        } catch (UnsupportedEncodingException e) {
        	e.printStackTrace();
            return target;
        }
    }


xlj3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
过滤器对前端请求参数进行解码URLDecoder,接口接收参数类型map,解码无效问题
ShanLanF的博客
05-09 1566
源码跟踪案例
Map<String,Object> map=new HashMap<String,Object>详解
我是一只蘑菇17的博客
09-21 1198
负载因子衡量的是一个散列表的空间的使用速度,负载因子越大表示散列表的装填程度越高,反之越小。当哈希表中的条目数超过加载因子和当前容量的乘积时,哈希表将被重新哈希(重建内部数据结构),以便哈希表具有大约两倍的桶数。在Java编程语言中,最基本的结构就是两种,一个是数组,另外一个是指针(引用),HashMap就是通过这两个数据结构进行实现。中访问元素时,只有指定了key就可以找到对应的value,因此key必须是唯一的且不能重复,当key相同时,后面的value值会覆盖之前的value值。
Java 获取Url中的参数Map
我就是我不一样的美男子!
01-10 2407
【代码】Java 获取Url中的参数Map
java原生方法实现url参数与map互转,x-www-form-urlencoded编码/解码实现,可实现复杂对象转换
ben905713861的博客
08-26 5868
最近在研究java原生方法实现http服务,但网上一直没有找到可靠的x-www-form-urlencoded编码/解码代码,要么找到的就是简单的一维key-value转换,无法实现复杂对象的转换,例如提交以下参数: 我写的代码提供两个静态方法,分别是实现编码的方法public static String urlencode(Object params, String key),和实现解码的方法...
浏览器跨域问题(Javaweb)
qq_37230094的博客
03-20 339
public HashMap<String, Object> login(HttpServletRequest request,HttpServletResponse response) { //response.addHeader("Access-Control-Allow-Origin", "*"); //response.addHeader("Ac...
hashMap利用iterator迭代器迭代元素方法
08-11
这个是利用iterator迭代器来对hashMap进行迭代元素,数据java基础的内容。有兴趣的朋友可以看看。
易语言HashMap
07-18
易语言HashMap类源码,HashMap类,初始设置,加入,取值,删除,清空,取所有键,取所有值,枚举所有键,键总数,是否为空,是否存在键,取所有键值对,计算散列值,更新阈值,计算索引,重新索引
Java基础教程之HashMap迭代删除使用方法
08-25
Java基础教程之HashMap迭代删除使用方法 HashMapJava中一种常用的数据结构,用于存储键值对。在实际开发中,我们经常需要删除HashMap中的某些元素,而迭代删除是其中一种常见的操作方式。本文将对HashMap迭代删除...
C语言实现hashMap
11-10
C语言实现hashMap,包含创建hashMap、插入hashMap、查找hashMap、删除hashMap,已经若干经典的hash函数。文章链接:https://blog.csdn.net/sxf1061700625/article/details/109594495
HashMap
12-22
HashMap 在 JDK 1.7 中 HashMap 是以数组加链表的形式组成的,JDK 1.8 之后新增了红黑树的组成结构,当链表大于 8 时,链表结构会转换成红黑树结构,它的组成结构如下图所示: 数组中元素结构: static class Node ...
jsp页面url编码_springmvc_controller解码
04-09
NULL 博文链接:https://laoli5290.iteye.com/blog/1633707
Lesson9:Spring AOP
weixin_44258092的博客
06-08 181
AOP是一种编程思想,他是指对一类事情进行集中处理。SpringAOP该思想的实现,是通过动态代理的方式,在运行期将AOP代码织入到程序中,实现方式有JDK Proxy 和 CGLIB两种。AOP由切面和连接点组成,切面由切点和通知组成。在Spring中,在类上加上@Aspect注解,即可声明此类是一个切面。切点由切点函数组成,常用的切点函数是execution()。切点函数是没有函数体,切点函数的具体实现由通知实现。最后通过统一用户登录权限验证、统一数据返回格式、统一异常处理介绍了AOP的应用。...
java+python+map,相当于Python的Java urllib.urlencode(基于HashMapUrlEncode
weixin_39740737的博客
03-01 254
Whats the java equivalent of Python’s urllib.urlencode?Like>>> urllib.urlencode({'abc':'d f', 'def': '-!2'})'abc=d+f&def=-%212'Where I can pass a HashMap of key values and it encodes and ...
JAVA使用URLEncoder、URLDecoder编码解码
一个天蝎座的程序猿!
04-07 1万+
JAVA使用URLEncoder、URLDecoder编码解码
java urlencode 解码_UrlEncode编码/UrlDecode解码使用方法
weixin_29053577的博客
02-16 5127
UrlEncode编码主要用于将字符串以URL编码,返回一个字符串;使用方法:1、ASP中的用法:Server.URLEncode(“内容”)例如:2、PHP中的用法:urlencode(“内容”)例如:3、JSP中的用法:URLEncoder.encode(“内容”)例如:UrlDecode解码主要对字符串进行URL解码...
JavaMap对象按字典序排列,并且封装URL的工具类
KingAntY的专栏
05-30 4012
/**      *      * 方法用途: 对所有传入参数按照字段名的 ASCII 码从小到大排序(字典序),并且生成url参数串      * 实现步骤:      *      * @param paraMap   要排序的Map对象      * @param urlEncode   是否需要URLENCODE      * @param keyToLower   
url参数和map之间的转换
热门推荐
那个谁的空间
08-14 3万+
/** * 将url参数转换成map * @param param aa=11&bb=22&cc=33 * @return */ public static Map getUrlParams(String param) { Map map = new HashMap(0); if (StringUtils.isBlank(param)) { retu
javamap拼接成“参数=值&参数=值”
weixin_30767835的博客
10-25 610
JavaMap拼接成“参数=值&参数=值”   把一个map的键值对拼接成“参数=值&参数=值”即“username=angusbao&password=123456”这种形式方便传递,尤其是在接口调用的时候,这种方式使用的更加普遍,比如http请求的get方式,如何用java对其进行解决呢?  代码如下:   /**   * 把数组所有元素排序,并按照“参...
用runnable封装hashmap
最新发布
09-13
当使用`Runnable`封装`HashMap`时,需要注意在并发场景下可能会出现死循环的问题。这是因为`HashMap`在多线程环境下不是线程安全的数据结构。 如果你想在多线程环境下使用`HashMap`,可以考虑使用`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值