spring boot使用切面对HTTP传入的参数做防sql和非法字符串检测

最新推荐文章于 2024-06-10 19:35:40 发布
最新推荐文章于 2024-06-10 19:35:40 发布
阅读量6.7k 收藏 5
点赞数 3
分类专栏: SQL 随记 文章标签: springboot SQL Aspect
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23184291/article/details/79651093
版权

spring boot使用切面对HTTP传入的参数做防sql和非法字符串检测

首先要构建一个spring boot工程,这个非常简单。
本文的重点是使用切面对controller层接入的外参进行sql注入检测和非法字符串检测

1. 创建一个接口

@RestController
public class TestController {
    @GetMapping("/hello/{str}")
    public String getStr(@PathVariable("str")String str){
        return str;
    }
}

2. 我们需要对传入的str字符串进行检测,创建一个切面

@Component
@Aspect
public class CheckInputParameterAspect {

    private static final Log Logger = LogFactory.getLog(CheckInputParameterAspect.class);

    // 存在SQL注入风险
    private static final String IS_SQL_INJECTION = "输入参数存在SQL注入风险";

    private static final String UNVALIDATED_INPUT = "输入参数含有非法字符";

    private static final String ERORR_INPUT = "输入的参数非法";

    /**
     * 定义切入点:拦截controller层所有方法
     */
    @Pointcut("execution(* com.compass.yu.controller..*(..))")
    public void params() {
    }

    /**
     * 定义环绕通知
     * 
     *
最低0.47元/天 解锁文章
ripley_csdn
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
特殊字符检测工具(防止传入非法字符和sql注入攻击)
心若有所栖,何似风飘缈。
09-02 1317
特殊字符检测工具(防止传入非法字符和sql注入攻击)
利用spring AOP 实现 sql注入检测
三三两两的博客
05-20 943
https://blog.csdn.net/weixin_41922289/article/details/88267790 利用spring AOP 实现 sql注入检测 什么是sql注入? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入...
Spring Boot】过滤敏感词的两种实现
最新发布
甜鲸鱼的博客
06-10 914
基于Spring Boot的论坛系统实现敏感词过滤的两种方式:自行构建前缀树过滤器与使用第三方开源项目。
解决spring boot请求包含非法字符问题 The valid characters are defined in RFC 7230 and RFC 3986 错误
01-20
解决spring boot请求 java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986 错误 问题出在 高版本的tomcat会对请求头进行过滤 我的项目使用springboot版本是2.2.5版本, 内置的tomcat 版本是9.0.31。 解决方法①(推荐) 新增一个配置类 设置tomcat请求路径包含“[]\” 等特殊字符不拦截 代码如下: @Configurati
SpringBoot之防止SQL注入和XSS攻击
ChuaWi98的博客
06-02 3722
SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。 SQL注入漏洞可能会影响使用SQL数据库(如MySQL,Oracle,SQL Server或其他)的任何网站或Web应用程序。犯罪分子可能会利用它来未经授权访问用户的敏感数据:
SpringBoot注入XSS和SQL非法参数过滤器
davidhhs的博客
07-16 1091
直接将自定义请求包装器XssAndSqlHttpServletRequestWrapper.java和自定义过滤器 XssAndSqlFilter.java 引入到项目中配置到可以扫描的路径下。拦截所有请求,校验参数中包含XSS和SQL非法参数。 package com.lw.filter; import lombok.extern.slf4j.Slf4j; import org.springframework.util.StreamUtils; import javax.servlet.Re..
SpringBoot项目防止Sql注入拦截器
qq_29991719的博客
12-08 1555
防止Sql注入拦截器
spring boot 防止SQL注入和XSS攻击
localhost
03-24 974
1.创建XssAndSqlHttpServletRequestWrapper类 package common; import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; import java.util.Enumeration; import java.util.HashMap; import ja
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:通过存储过程与数据库交互,减少...
Spring Boot数据库链接池配置方法
08-30
使用MySQL JDBC驱动时,需要注意某些参数需要以字符串形式传递,例如`reportMetricsIntervalMillis`和`logSlowQueries`。此外,如果你想要自定义JDBC驱动的日志记录器,可以创建一个实现`...
mybatisplus-spring-boot-master.zip
07-02
MyBatisPlus的条件构造器允许动态构建SQL语句,无需手动拼接字符串。例如,根据用户名模糊搜索用户: ```java List<User> users = userMapper.selectList(new QueryWrapper().like("username", "张")); ``` 7. ...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册FilterFilter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
srping boot 实战小实例
05-27
这个实例主要关注如何通过OrdersController将不同类型的值(包括字符串、对象和列表)从数据库传递到前端页面。在本文中,我们将详细解析涉及的技术点和步骤。 首先,Spring Boot以其简化Java Web应用开发而闻名,...
JavaDynamicReports:从MySQL或MS SQL生成Dynamic和JasperReport
04-28
JavaDynamicReports可以轻松集成到任何Java应用中,如Spring Boot、Struts等。只需添加对应的依赖,就可以在应用中调用报表生成功能。 总结来说,JavaDynamicReports是Java开发人员生成动态JasperReport的高效工具...
Spring Boot实现分布式微服务开发实战系列 -- AOP切面实现及防SQL注入
u011134780的博客
07-02 1760
一,AOP切面实现 首先在pom里依赖aop,版本号:2.1.0.RELEASE 这里用Aop主要实现日志及异常处理,首先我们在接口层(lyn-web)创建一个Aop的切面类,如下: 定义好切面,然后写前置通知,后置通知,环绕通知。 前置通知主要打印了请求接口、IP、接口请求方式等信息,环绕通知抓取了接口的响应时间和异常处理,后置通知打印了相应的参数。接下来我将使用Aop实现一...
springboot项目中非法访问页面拦截器的实现
找找bug的博客
05-18 1123
任务 某些页面不想让外人访问时,就需要定义页面拦截器,来拦截非法访问。例如,在博客后台管理中,对于博客内容的编辑页面是不允许直接访问的,若任何人都可以进入内容编辑页面,后果不堪设想,此时,就需要拦截对博客内容编辑页面的直接访问,当访问博客内容编辑页面时,需要使用拦截器去判断在访问这些页面时是否已经登录,若没有登录,则先登录才能对博客内容进行编辑。 代码实现 1 创建登录拦截器类——LoginInterceptor package com.hdq.blog_3.interceptor; //非法访问
springboot应用sql注入拦截处理
liaomingwu的专栏
03-11 4521
springboot应用sql注入拦截处理
基础篇-SpringBoot HTTP接口实战
Huangjiazhen711的博客
09-06 920
作用于形参列表上,用于将前台发送过来固定格式的数据【xml 格式或者 json等】封装为对应的 JavaBean 对象,封装时使用到的一个对象是系统默认配置的 HttpMessageConverter进行解析,然后封装到形参上。如果是一个对象,会将对象转化为json串,然后写到客户端。用于定义控制器类,在spring项目中由控制器负责将用户发来的URL请求转发到对应的服务接口(service层),一般这个注解在类中,通常方法需要配合注解@RequestMapping。设置默认值后,不传参会使用默认值。
springboot 获取接口请求中的参数(@PathVariable,@RequestParam,@RequestBody)
m0_58680865的博客
05-30 6159
一、 访问请求、URI、URL、请求参数 四者的区别 一个完整的请求路径:http://www.test.com/user/031267/view?username=zhangsan&age=20 请求URL (requestURL)= http://www.test.com/user/031267/view 请求URI (requestURI)= /user/031267/view 请求参数(queryString)= username=zhangsan&age=20 二、注解区别 1、
spring boot 多个参数用in时候的mysql配置文件如何写
05-25
在 MySQL 数据库中,可以使用 `IN` 关键字来匹配多个参数。在 Spring Boot 的配置文件中,您可以将多个参数作为一个数组传递给 SQL 查询,如下所示: ``` spring.datasource.url=jdbc:mysql://localhost:3306/mydatabase spring.datasource.username=myusername spring.datasource.password=mypassword spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect my.query=SELECT * FROM mytable WHERE mycolumn IN (:myValues) ``` 然后,在您的代码中,您可以使用 `@Query` 注释来引用该查询,并将多个值作为一个数组传递给 `myValues` 参数,如下所示: ```java @Repository public interface MyRepository extends JpaRepository<MyEntity, Long> { @Query(nativeQuery = true, value = "${my.query}") List<MyEntity> findByValues(@Param("myValues") List<String> values); } ``` 在这个例子中,您需要先定义一个自定义查询语句(使用 `my.query`),并在 `@Query` 注释中使用 `${my.query}` 占位符来引用它。然后,您可以使用 `@Param` 注释来将一个名为 `myValues` 的参数映射到查询中的 `:myValues` 占位符。最后,您可以将一个字符串值列表传递给 `findByValues` 方法,并在查询中使用 `IN` 关键字来匹配这些值。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ripley_csdn

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值