使用Servlet Filter来防止SQL注入的方法

使用Servlet Filter来防止SQL注入的方法
参考:[url]http://618119.com/archives/2010/02/23/156.html[/url]

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class ReqFilter implements Filter {


public void init(FilterConfig config) throws ServletException {
}


public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
ReqHttpServletRequestWrapper reqRequest = new ReqHttpServletRequestWrapper(
(HttpServletRequest) request);
chain.doFilter(reqRequest, response);
}


public void destroy() {
}
}




import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


public class ReqHttpServletRequestWrapper extends HttpServletRequestWrapper {
HttpServletRequest orgRequest = null;

public ReqHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
orgRequest = request;
}

/**
* 覆盖getParameter方法,将参数名和参数值都做req过滤。<br/>
* 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
*/
@Override
public String getParameter(String name) {
String value = super.getParameter(name);
if (value != null) {
value = reqEncode(value);
}
return value;
}

/**
* 覆盖getHeader方法,将参数名和参数值都做req过滤。<br/>
* 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> getHeaderNames 也可能需要覆盖
*/
/* @Override
public String getHeader(String name) {
String value = super.getHeader(reqEncode(name));
if (value != null) {
value = reqEncode(value);
}
return value;
}*/

/**
* 将容易引起req漏洞的半角字符直接替换成全角字符
*
* @param s
* @return
*/
private static String reqEncode(String s) {
if (s == null || "".equals(s)) {
return s;
}
StringBuilder sb = new StringBuilder(s.length() + 16);
for (int i = 0; i < s.length(); i++) {
char c = s.charAt(i);
switch (c) {
case '\'':
sb.append("′");// ´");
break;
case '′':
sb.append("′");// ´");
break;
case '\"':
sb.append(""");
break;
case '"':
sb.append(""");
break;
case '&':
sb.append("&");
break;
case '#':
sb.append("#");
break;
case '\\':
sb.append('¥');
break;

default:
sb.append(c);
break;
}
}
return sb.toString();
}

/**
* 获取最原始的request
*
* @return
*/
public HttpServletRequest getOrgRequest() {
return orgRequest;
}

/**
* 获取最原始的request的静态方法
*
* @return
*/
public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
if (req instanceof ReqHttpServletRequestWrapper) {
return ((ReqHttpServletRequestWrapper) req).getOrgRequest();
}

return req;
}
}



 <filter>
<display-name>reqFilter</display-name>
<filter-name>reqFilter</filter-name>
<filter-class>jp.co.bsnw.servlet.ReqFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>reqFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
下面是一个使用过滤器防止 SQL 注入的示例代码: ```java public class SqlInjectionFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; String requestUrl = httpRequest.getRequestURL().toString(); if (requestUrl.contains(".jsp") || requestUrl.contains(".html")) { // 仅对 JSP 和 HTML 页面进行过滤 String queryString = httpRequest.getQueryString(); if (queryString != null && !queryString.isEmpty()) { String[] params = queryString.split("&"); for (String param : params) { String[] nameValue = param.split("="); String name = nameValue[0]; if (nameValue.length > 1) { String value = nameValue[1]; if (isSqlInjection(value)) { // 如果存在 SQL 注入则拦截请求 HttpServletResponse httpResponse = (HttpServletResponse) response; httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN); return; } } } } } // 继续执行下一个过滤器或 Servlet chain.doFilter(request, response); } private boolean isSqlInjection(String value) { // 判断是否存在 SQL 注入 // 如果存在则返回 true,否则返回 false // 这里需要根据具体情况编写代码实现 // 比如可以使用正则表达式进行匹配 return false; } @Override public void destroy() { // 销毁资源 } @Override public void init(FilterConfig filterConfig) throws ServletException { // 初始化 } } ``` 在上面的代码中,我们实现了一个名为 `SqlInjectionFilter` 的过滤器,用于拦截所有的 JSP 和 HTML 页面请求,并检查请求参数中是否存在 SQL 注入。如果存在 SQL 注入,就会返回 403 Forbidden 错误,否则继续执行下一个过滤器或 Servlet。 在 `isSqlInjection` 方法中,我们可以根据具体情况编写代码,以判断输入参数是否存在 SQL 注入。比如可以使用正则表达式进行匹配,或使用一些开源的注入工具库,比如 OWASP ESAPI 等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值