springboot项目防止sql注入

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量856 收藏
点赞数
分类专栏: 私密 文章标签: 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31104067/article/details/119573853
版权

在项目中我们经常会遇到这些sql注入的问题,这边我介绍的是通过filter拦截的方式进行过滤一些sql脚本的注入,在平时编程的时候我们也要注意,在程序中编写sql脚本(mapper.xml) 文件的时候能用#尽量用#,避免一个恶意攻击网站的人。

首先介绍一下#和$的区别:

  1. #{}:占位符号,好处防止sql注入,自带单引号变量
  2. ${}:sql拼接符号,原生变量

接下来介绍写在java项目中(springboot)如何通过webFilter防止sql注入:  

/**

* sql注入过滤器

*/

@Component

@WebFilter(urlPatterns = "/*", filterName = "SQLInjection", initParams = { @WebInitParam(name = "regx", value = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|" +

"(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)") })

public class SqlInjectFilter implements Filter{

  private String regx;

  @Override

  public void init(FilterConfig filterConfig) throws ServletException {

    this.regx = filterConfig.getInitParameter("regx");

  }

  @Override

  public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

    HttpServletRequest req = (HttpServletRequest) servletRequest;

    Map parametersMap = servletRequest.getParameterMap();

    Iterator it = parametersMap.entrySet().iterator();

    while (it.hasNext()) {

      Map.Entry entry = (Map.Entry) it.next();

      String[] value = (String[]) entry.getValue();

      for (int i = 0; i < value.length; i++) {

        if (null != value[i] && value[i].matches(this.regx)) {

          log.error("您输入的参数有非法字符,请输入正确的参数!");

          servletRequest.setAttribute("err", "您输入的参数有非法字符,请输入正确的参数!");

          servletRequest.setAttribute("pageUrl",req.getRequestURI());

          servletRequest.getRequestDispatcher(servletRequest.getServletContext().getContextPath() + "/error").forward(servletRequest, servletResponse);

          return;

        }

      }

    }

  }

  filterChain.doFilter(servletRequest, servletResponse);

 }

  @Override

  public void destroy() {

  }

}

启动类上记得加注解:

@ServletComponentScan(basePackages ="xxxx.xxx.xxx.filter") //filter所在的包,扫描
wxiaohe1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
7、springboot-防止sql注入
aunt_y的博客
05-25 4463
疫情大数据平台是一个公益的项目,但很可能被网络上大量的扫描器扫描,并有可能收到脚本的攻击,而进行防御就是很重要的,可以有效的避免我们被攻击。 本篇主要讲述防止sql注入部分 sql注入是什么 ​ SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。 ​ 而SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。 ​ 如Web应用程序的开发人员对用户所输入的数据或cooki
SpringBoot集成Mybatis实现简单的SQL注入(攻击)案例
12-14
(1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT ...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
SpringBoot——防止sql注入,xss攻击
Blackcat_Hellcat的博客
11-22 1222
SpringBoot——防止sql注入,xss攻击 sql注入:把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 解决方法: (1)无论是直接使用数据库还是使用如mybatis组件,使用sql的预编译,不要用拼接字符串; (2)后台过滤检测:使用正则表达式过滤传入的参数**;**.字符串过滤; (4)前端检测sql常见关键字,如or and drop之类的。 xss攻击:其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏
SpringBoot中如何防止XSS攻击和sql注入
最新发布
2302_77596945的博客
05-23 607
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
SpringBoot 防止sql注入及xss等恶意攻击
qq_27242695的博客
04-01 652
文章目录SpringBoot 防止sql注入及xss等恶意攻击1 HttpServletRequestWrapper2 装饰类3 跨域4. 添加过滤器 SpringBoot 防止sql注入及xss等恶意攻击 1 HttpServletRequestWrapper Filter能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。 使用filter来实现特定的任务,比如验证用户输入,sql注入
springboot---防止sql注入,xss攻击,cros恶意访问
西门飘雪的博客
07-25 5631
目录 1.sql注入 2.xss攻击 3.csrf/cros 4.服务端代码处理,以springboot为例 5.几个防止暴力破解的网站 1.sql注入 sql注入解释: 把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 解决方法: 1)无论是直接使用数据库还是使用如mybatis组件,使用sq...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。...攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。...
XSS & SQL注入
10-30
XSS & SQL 注入 XSS(Cross-Site Scripting,跨站脚本)和 SQL 注入是两种常见的 Web 安全漏洞。下面将详细介绍 XSS 和 SQL 注入的概念、原理和应用。 什么是 XSS? XSS,或者称为 CSS,代表着跨站脚本。基本上,...
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
SpringBoot 安全漏洞之SQL注入和XSS攻击
zhouzhiwengang的专栏
11-09 625
1、自定义HttpServletRequestWrapper类,实现SQL和XSS 过滤 package com.zzg.sql.filter; import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; import java.util.Enumeration; import java.util.Has
项目中配置防止sql注入(springboot)
weixin_39728880的博客
09-19 8789
项目中我们经常会遇到这些sql注入的问题,这边我介绍的是通过filter拦截的方式进行过滤一些sql脚本的注入,在平时编程的时候我们也要注意,在程序中编写sql脚本(mapper.xml) 文件的时候能用#尽量用#,避免一个恶意攻击网站的人。 首先介绍一下#和$的区别: #{}:占位符号,好处防止sql注入,自带单引号变量 ${}:sql拼接符号,原生变量 接下来介绍写在java项目中(s...
SpringBoot项目防止Sql注入
Aguai229的博客
03-01 6432
由于我们的项目遭受了一次sql注入攻击,被批评的头破血流,马不停蹄安排起来。 首先,了解一下@WebFilter注解 @WebFilter 用于将一个类声明为过滤器,被@WebFilter注解的类,会在容器启动时被加载,并进行属性配置。具体的参数就不详细放出来了。initParams是该过滤器的初始化参数。 @Slf4j @Component @WebFilter(urlPatterns = "/*", filterName = "SQLInjection", initParams =
Spring Boot 防护 XSS + SQL 注入攻击
一米九的博客
03-28 1897
不管输入什么参数,打印出的sql都是这样的。这是因为mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?存储型XSS: 存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,能够提高效率,原因是sql已编译好,再次执行时无需再编译。
SpringBootSQL注入
孟美岐的博客
07-12 1974
新建XssHttpServletRequestWrapper import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; import java.util.HashMap; import java.util.HashSet; import java.util.Map; import java.util.Set;
springboot防止sql注入
05-21
Spring Boot本身并没有提供防止SQL注入的解决方案,但我们可以采取一些措施来避免SQL注入问题: 1. 使用PreparedStatement代替Statement。PreparedStatement预编译SQL语句并且对输入参数进行类型检查,从而有效地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值