SpringBoot如何避免SQL注入漏洞呢?

最新推荐文章于 2024-09-06 11:35:28 发布
最新推荐文章于 2024-09-06 11:35:28 发布
阅读量1k 收藏
点赞数
分类专栏: Spring boot 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25073223/article/details/127957679
版权

转自:

SpringBoot如何避免SQL注入漏洞呢?

下文笔者讲述SpringBoot避免SQL注入漏洞的方法分享,如下所示

SQL盲注,SQL注入简介

 SQL注入的风险:
     数据库中的数据被任意查看,修改,删除
 SQL注入的原因:
     未对用户输入进行正确的验证
 SQL注入如何避免
     对危险字符进行过滤或sql参数化

SQL注入避免示例

 添加SQL注入包装类 
import java.util.regex.Matcher;
import java.util.regex.Pattern;
 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
 
/**
 * SQL注入包装类
 * 
 * @author java265
 *
 */
 
public class SqlInjectHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public static final Logger log = LoggerFactory.getLogger(SqlInjectHttpServletRequestWrapper .class);
	/**
	 * 构造请求对象
	 * 
	 * @param request
	 */
	public SqlInjectHttpServletRequestWrapper(HttpServletRequest request) {
		super(request);
	}
 
	/**
	 * 获取头部参数
	 * 
	 * @param v 参数值
	 */
	@Override
	public String getHeader(String v) {
		String header = super.getHeader(v);
		if (header == null || "".equals(header)) {
			return header;
		}
		return sqlFilter(header);
	}
 
	/**
	 * 获取参数
	 * 
	 * @param v 参数值
	 */
	@Override
	public String getParameter(String v) {
		String param = super.getParameter(v);
		if (param == null || "".equals(param)) {
			return param;
		}
		return sqlFilter(param);
	}
 
	/**
	 * 获取参数值
	 * 
	 * @param v 参数值
	 */
	@Override
	public String[] getParameterValues(String v) {
		String[] values = super.getParameterValues(v);
		if (values == null) {
			return values;
		}
 
		int length = values.length;
		String[] resultValues = new String[length];
		for (int i = 0; i < length; i++) {
			// 过滤特殊字符
			resultValues[i] = sqlFilter(values[i]);
			if (!(resultValues[i]).equals(values[i])) {
				log.debug("SQL注入过滤器 => 过滤前:{} => 过滤后:{}", values[i], resultValues[i]);
			}
		}
		return resultValues;
	}
 
	/**
	 * 预编译SQL过滤正则表达式
	 */
	private Pattern sqlPattern = Pattern.compile(
			"(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)",
			Pattern.CASE_INSENSITIVE);
 
	/**
	 * SQL过滤
	 * 
	 * @param v 参数值
	 * @return
	 */
	private String sqlFilter(String v) {
		if (v != null) {
			String resultVal = v;
			Matcher matcher = sqlPattern.matcher(resultVal);
			if (matcher.find()) {
				resultVal = matcher.replaceAll("");
			}
			if (!resultVal.equals(v)) {
				return "";
			}
			return resultVal;
		}
		return null;
	}
}

3、配置文件添加配置
# sql 注入过滤url地址
security.sql.excludes=/images/*, /jquery/*, /layui/*

4、添加SQL注入过滤器
import java.io.IOException;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
 
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import org.springframework.stereotype.Component;
import org.springframework.beans.factory.annotation.Value;
 
/**
 * SQL注入过滤器
 * 
 * @author java265
 *
 */
@Component
@WebFilter(filterName = "SqlInjectFilter", urlPatterns = "/*")
public class SqlInjectFilter implements Filter {
 
	/**
	 * 过滤器配置对象
	 */
	FilterConfig filterConfig = null;
 
	/**
	 * 是否启用(默认启用)
	 */
	private boolean enable = true;
 
 
	/**
	 * 忽略的URL
	 */
    @Value("${security.sql.excludes}")
	private String excludes;
 
 
	/**
	 * 初始化
	 */
	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		this.filterConfig = filterConfig;
	}
 
	/**
	 * 拦截
	 */
	@Override
	public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) servletRequest;
 
		// 不启用或者已忽略的URL不拦截
		if (!enable || isExcludeUrl(request.getServletPath())) {
			filterChain.doFilter(servletRequest, servletResponse);
			return;
		}
		SqlInjectHttpServletRequestWrapper sqlInjectHttpServletRequestWrapper = new SqlInjectHttpServletRequestWrapper(
				request);
		filterChain.doFilter(sqlInjectHttpServletRequestWrapper, servletResponse);
	}
 
	/**
	 * 销毁
	 */
	@Override
	public void destroy() {
		this.filterConfig = null;
	}
 
	/**
	 * 判断是否为忽略的URL
	 * 
	 * @param urlPath URL路径
	 * @return true-忽略,false-过滤
	 */
	private boolean isExcludeUrl(String url) {
		if (excludes == null || excludes.isEmpty()) {
			return false;
		}
        List<String> urls = Arrays.asList(excludes.split(","));
		return urls .stream().map(pattern -> Pattern.compile("^" + pattern)).map(p -> p.matcher(url))
				.anyMatch(Matcher::find);
	}
}
qq_25073223
关注
专栏目录
7、springboot-防止sql注入
aunt_y的博客
05-25 4533
疫情大数据平台是一个公益的项目,但很可能被网络上大量的扫描器扫描,并有可能收到脚本的攻击,而进行防御就是很重要的,可以有效的避免我们被攻击。 本篇主要讲述防止sql注入部分 sql注入是什么 ​ SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。 ​ 而SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。 ​ 如Web应用程序的开发人员对用户所输入的数据或cooki
springboot中防止sql注入 & 防止sql攻击
热门推荐
jancislo的博客
06-28 1万+
1.编写  XssHttpServletRequestWrapperimport javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XssHttpServletRequestWrapper extends HttpServletReque...
springboot防止XSS攻击和sql注入
02-22 2006
springboot防止XSS攻击和sql注入
SpringBoot和Mybatis框架怎么防止SQL注入
最新发布
qq_44574863的博客
09-06 488
对用户输入进行严格的校验,确保输入符合预期的格式。可以在前端或后端对输入进行校验,避免非预期的字符或格式进入 SQL 语句。配合使用 Spring Security 等框架提供的 SQL 注入防护机制,进一步增强应用的安全性。MyBatis 提供了安全构建 SQL 查询的方式,推荐使用动态 SQL 标签(如。这样可以避免手动拼接时带来的注入风险。在 MyBatis 中,使用。等)构建查询条件,而。
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
犬小哈
03-27 543
???? 欢迎加入小哈的星球,你将获得:专属的项目实战 / Java 学习路线 /一对一提问 / 学习打卡 / 赠书福利全栈前后端分离博客项目 2.0 版本完结啦,演示链接:http://116.62.199.48/,新项目正在酝酿中。全程手摸手,后端 + 前端全栈开发,从 0 到 1 讲解每个功能点开发步骤,1v1 答疑,直到项目上线。目前已更新了239小节,累计38w+字,讲解图:164...
SpringBoot项目防止Sql注入
Aguai229的博客
03-01 6542
由于我们的项目遭受了一次sql注入攻击,被批评的头破血流,马不停蹄安排起来。 首先,了解一下@WebFilter注解 @WebFilter 用于将一个类声明为过滤器,被@WebFilter注解的类,会在容器启动时被加载,并进行属性配置。具体的参数就不详细放出来了。initParams是该过滤器的初始化参数。 @Slf4j @Component @WebFilter(urlPatterns = "/*", filterName = "SQLInjection", initParams =
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
通过定义Repository接口,你可以避免直接编写SQL,减少SQL注入的可能性: ```java public interface UserRepository extends JpaRepository, Long> { Optional<User> findByFirstNameAndLastName(String firstName...
SpringBoot安全漏洞SQL注入和XSS攻击简介说明
qq_25073223的博客
11-21 801
SpringBoot安全漏洞SQL注入和XSS攻击简介说明
预防XSS攻击和SQL注入XssFilter
05-19
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin...
java springboot sql防注入的6种方式
qq_34874784的博客
08-24 4678
4. 使用ORM框架中提供的查询构造器(Query Builder):ORM框架通常提供查询构造器或查询构造API,这些API可以帮助我们构建数据库查询语句,而无需手动编写SQL语句。1. 参数绑定:通过使用参数绑定,将用户输入的数据作为参数传递给SQL语句,而不是将其直接拼接到SQL语句中。6. 使用安全的编码方式:在将用户输入插入到SQL语句中时,确保使用合适的编码方式进行转义,例如使用转义函数或参数化查询。5. 输入验证和过滤:对于用户输入的数据,应该进行验证和过滤,确保其符合预期的格式和类型。
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
Springboot集成防sql注入设置
hao_kkkkk的专栏
10-21 3308
sql注入 安全开发 springboot
搭建大型分布式服务(二十)SpringBoot 如何防止SQL注入
hanyi_的专栏
06-22 1337
系列文章目录 文章目录系列文章目录前言一、本文要点二、开发环境三、创建项目四、自定义校验五、测试一下六、小结 前言 群里有个小伙伴提问,SpringBoot项目怎样做参数校验,防止SQL注入?改动尽量少,高灵活,因为并不是每个参数有需要校验的。 一、本文要点 接前文,我们介绍了如何做spring拓展,轻松面对面试官的提问了。本文介绍如何自定义参数校验,保护我们的系统,避免各种参数问题。系列文章完整目录 springboot 自定义校验参数 springboot 自定义校验规则 spri
Spring Boot实战:防范SQL注入攻击的综合策略与实例
kiingking的博客
07-13 395
Spring Boot中防止SQL注入攻击涉及到几个关键步骤,主要是通过使用参数化查询、预编译语句、ORM框架以及输入验证和清理机制。
SpringBootSQL注入
孟美岐的博客
07-12 2021
新建XssHttpServletRequestWrapper import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; import java.util.HashMap; import java.util.HashSet; import java.util.Map; import java.util.Set;
SpringBoot中如何防止XSS攻击和sql注入
2302_77596945的博客
05-23 1302
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
springboot sql 注入
05-10
Spring Boot 是基于 Spring 框架构建的,它可以通过自动配置和约定大于配置的方式来轻松创建独立的、生产级别的 Spring 应用程序。然而,Spring Boot 也存在 SQL 注入的风险,因此我们需要掌握相应的防范措施。 SQL 注入漏洞是指黑客利用合法的 SQL 查询接口,向应用程序的后台数据库发送针对数据库的攻击字符串,获取数据库的机密信息或通过修改数据库来破坏系统的安全性。在 Spring Boot 中,SQL 注入漏洞通常出现在动态拼接 SQL 语句的场景中,如使用 JdbcTemplate 进行数据库操作或通过 MyBatis 操作数据库时,如果不做正确的防范,就很容易发生 SQL 注入漏洞。 为了避免 SQL 注入漏洞的问题,我们可以采取以下措施: 1. 使用预处理语句:建议使用预处理语句,这样可以将传入的参数当做参数来处理,而不是当做 SQL 语句的一部分来处理。预处理语句可以有效地解决 SQL 注入问题,也可以提高应用程序的性能。 2. 使用参数中转:使用参数中转可以将直接拼接 SQL 语句的方式改为将参数值插入到预定义的 SQL 语句当中,从而避免 SQL 注入漏洞的风险。 3. 遵循安全编码规范:在进行开发工作时,应该遵循安全编码规范,对输入参数进行合理的检查和过滤,确保不会将恶意的输入传递给后台 SQL 语句。 总而言之,为了防范 SQL 注入漏洞,我们需要采取多种措施,如使用预处理语句、使用参数中转和遵循安全编码规范等,以确保应用程序的安全性。同时,开发人员也要不断学习新的安全技术和解决方案,提高系统的安全性和鲁棒性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值