防SQL注入的过滤器

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量921 收藏 2
点赞数
文章标签: 过滤器 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ouxiejian/article/details/104781611
版权

给已经上线的项目写了一个防sql注入的过滤器,并打成jar包放在项目的lib目录下。

package com.security.web.security.filters;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Enumeration;

public class MyFilter implements Filter {

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    public void doFilter(ServletRequest reqs, ServletResponse resp, FilterChain chain) throws IOException, ServletException {
        System.out.println("=======================过滤器接收请求");
        System.out.println("=======================接收请求");
        System.out.println("=======================接收请求");

        HttpServletRequest request = (HttpServletRequest) reqs;
        HttpServletResponse response = (HttpServletResponse) resp;
        // 获得所有请求参数名
        Enumeration params = request.getParameterNames();
        String sql = "";
        while (params.hasMoreElements()) {
            // 得到参数名
            String name = params.nextElement().toString();
            System.out.println("=======================参数name:"+name);
            // 得到参数对应值
            String[] value = request.getParameterValues(name);

            if (null != value){
                for (int i = 0; i < value.length; i++) {
                    System.out.println("=======================name对应的value:"+value[i]);
//                sql = sql + value[i];
                    //判断每一个string
                    if (sqlValidate2(value[i])){
                        System.out.println("=======================在for循环里面拦截非法字符!");
                        System.out.println("=======================在for循环里面拦截非法字符!");
                        System.out.println("=======================在for循环里面拦截非法字符!");
                        throw new IOException("您发送请求中的参数中含有非法字符");
                    }else {
                        sql = sql + value[i];
                    }
                }
            }
        }
        if (sqlValidate2(sql)) {
            System.out.println("=======================在外面拦截非法字符!");
            System.out.println("=======================在外面拦截非法字符!");
            System.out.println("=======================在外面拦截非法字符!");
            throw new IOException("您发送请求中的参数中含有非法字符");
        } else {
            chain.doFilter(request, response);
        }

    }

    public void destroy() {

    }

    /**
     * 参数校验
     * @param str
     */
    public static boolean sqlValidate1(String str) {
        str = str.toLowerCase();//统一转为小写
        String badStr = "select|update|delete|insert|truncate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute|table";
        String[] badStrs = badStr.split("|");
        for (int i = 0; i < badStrs.length; i++) {
            //循环检测,判断在请求参数当中是否包含SQL关键字
            if (str.indexOf(badStrs[i]) >= 0) {
                return true;
            }
        }
        return false;
    }

    //效验
    protected static boolean sqlValidate2(String str) {
        str = str.toLowerCase();//统一转为小写,去空格

        String badStr = "exec|execute|insert|select|delete|update|drop|*|chr|mid|master|truncate|" +
                "char|declare|sitename|net user|xp_cmdshell|;|-|+|create|" +
                "table|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|order|by|count|" +
                "--|//|/|#|or 1 = 1|or '|' or|or'|'or|)or|) or|or(|or (| or|or | and|and |)and|and(|,and|and'";//过滤掉的sql关键字,可以手动添加
        String[] badStrs = badStr.split("\\|");
        for (int i = 0; i < badStrs.length; i++) {
            if (str.indexOf(badStrs[i]) >= 0) {
                return true;
            }
        }
        return false;
    }

}

在web.xml中配置过滤器:

  <filter>  
        <filter-name>MyFilter</filter-name>  
        <filter-class>com.security.web.security.filters.MyFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>MyFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>
ouxiejian
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入过滤Java版)
11-17
SQL 安全注入漏洞过滤器Java实现 Java类实现,以及配置文件web.xml
JavaSQL注入(通过Filter过滤器功能进行拦截)
qq_37272886的博客
05-18 6506
前言 contentType=multipart/form-data的header以文件流的的形式上传文件时,如果代码中使用了Filter,会出现无法用Filter 中用ServletRequest.getParameter 方法取不到一并提交上来的参数 multipart/form-data格式: package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import java.
SpringBoot中如何止XSS攻击和sql注入
最新发布
2302_77596945的博客
05-23 742
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
过滤器实现全局SQL注入
ACGkaka的博客
10-28 4430
目录SqlInjectFilter.javaMyRequestWrapper.java 场景: 公司渗透测试,发现了输入框有SQL注入风险,于是进行修改。 解决方案: 增加全局过滤器,对请求参数中存在SQL过滤器的参数进行提示,主要增加了两个类: SqlInjectFilter,过滤器; MyRequestWrapper,用于过滤器中获取POST请求参数。 SqlInjectFilter.java import com.alibaba.fastjson.JSONObject; import com.
使用过滤器止简单的页面SQL注入
zhuxinquan的博客
09-07 9039
在之前写的一个群博系统中,在上线一段时间后,被自己人发现了一个天大的漏洞——SQL注入,自己也是第一次遇到,真是难以置信,后来看到这样一篇文章:java过滤器止页面SQL注入。自己修改了一下,可以解决一般的SQL注入了(最起码使用sqlmap这种工具没有造成注入)。首先说一下在我的系统中造成SQL注入的原因: 大量的SQL语句拼接——为了能够根据不同的请求参数在同一个页面查询后展示,所以在主页
springboot自带filter实现sql注入过滤器
leveretz的博客
12-29 2490
springboot自带filter实现sql注入过滤器
C# MVC 过滤器SQL注入
09-15
C# MVC 过滤器SQL注入
java过滤器sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!...外网可能会被攻击,简单的处理可以避免!...
C#SQL注入代码的三种方法
09-04
在C#中,SQL注入主要有以下三种方法: 1. **避免直接拼接SQL语句** 直接使用字符串拼接构建SQL语句是最容易导致SQL注入的方式。开发者应该避免这种做法,转而使用参数化查询。例如,使用`SqlCommand`对象的`...
java 过滤器filtersql注入的实现代码
09-01
为了止这种攻击,开发者通常会使用过滤器(Filter)来对用户输入进行预处理,确保输入的数据不会对系统造成危害。本文将详细介绍如何使用Java Filter实现SQL注入的功能。 首先,我们需要创建一个实现了`javax...
sql注入过滤器配置
10-24
### SQL注入过滤器配置详解 #### 一、引言 在现代Web应用开发中,安全性一直是至关重要的方面。SQL注入攻击是黑客常用的一种手段,它通过恶意SQL语句来破坏或操纵数据库中的数据。为了保护系统免受此类攻击,...
SQL注入修复、XSS漏洞 过滤器及Cookie劫持攻击
qq_43420577的博客
05-29 830
然后在WEB.XML里面配置。一、解决sql注入问题。三、cookie劫持。
代码审计 | SQL注入过滤器绕过
hackzkaq的博客
11-06 223
FILTER_VALIDATE_EMAIL过滤器不允许在邮件地址中出现空格符号,可以使用/**/来代替。在进行数据库操作时,需要使用PDO预处理的方式,SQL注入漏洞的产生。在示例代码中,用户输入的参数被直接用于执行SQL查询操作,这种方式存在潜在的安全风险。尽管代码中使用了过滤器进行过滤,但这种方式依然不足以止攻击者绕过过滤器,从而导致SQL注入漏洞。RFC不是非常严格,允许使用许多特殊字符。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
Java项目SQL注入的方式总结
睡竹的博客
03-02 9560
Java项目SQL注入的方式总结 springboot配置请求过滤器SQL注入 nginxSQL注入 mybatisSQL注入
SQL注入过滤器
barret的博客
08-04 475
一个SQL注入过滤器
为解决存储型xss和sql注入漏洞,创建对应的全局过滤器
apple_pingwan的博客
01-13 2742
为解决存储型xss和sql注入漏洞,创建对应的全局过滤器
SQL注入(入门其二——过滤
qq_43520778的博客
09-06 1277
[toc]SQL注入
spring gateway 集成sql注入过滤
weixin_55741551的博客
08-17 1037
spring gateway 使用globalFilter集成sql注入检查和过滤
javasql注入过滤器_2019-08-23/sql注入过滤器
weixin_39614754的博客
02-28 621
现在后端的框架也做了sql注入的手段,比如使用PreparedStatement+占位符。但加一层过滤器总归更加安全一点。这里的sql注入过滤器可以对普通get/post请求进行参数过滤,也可以对post+application/json等请求进行参数过滤。该过滤器使用了请求的包装类,具体参考我的上一篇文章https://www.jianshu.com/p/579558b6dc63,这里只...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值