若依框架(SpringBoot)增加SQL防注入处理,SpringBoot增加SQL防注入

最新推荐文章于 2024-05-16 12:06:35 发布
最新推荐文章于 2024-05-16 12:06:35 发布
阅读量2.9k 收藏 8
点赞数
分类专栏: 若依 文章标签: sql java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33317238/article/details/122111063
版权

文章目录

若依框架增加SQL防注入处理,SpringBoot项目可用

思路:增加Filter对请求中的请求参数进行过滤进行处理,如果不成功响应失败

增加Filter

  • 代码如下
package com.unicom.tsm.framework.filter;

import com.unicom.tsm.common.exception.BusinessException;
import org.springframework.context.annotation.Configuration;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;
import java.util.Enumeration;
import java.util.Locale;
import java.util.regex.Matcher;
import java.util.regex.Pattern;


/**
 * @Author Lxy
 * @Description  
 * WebFilter中的"/*"表示拦截所有的请求
 */
@WebFilter(urlPatterns = "/*",filterName = "sqlFilter")
@Configuration
public class SqlFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        ServletRequest request = servletRequest;
        ServletResponse response = servletResponse;
        // 从request中获取当前请求中所有的参数名称
        Enumeration<String> names = request.getParameterNames();
        String sql = "";
        while (names.hasMoreElements()) {
        		 // 从name中取出所有的参数名称
            String name = names.nextElement().toString();
            // 根据参数名称获取所有的参数对应的值
            String[] values = request.getParameterValues(name);
            for (int i = 0; i < values.length; i++) {
                sql += values[i];
            }
        }
        if (sqlValidate(sql)) {
            //  拦截后的处理可以直接响应
            HttpServletResponse resp = (HttpServletResponse) response ;
            resp.setStatus(500);
            ServletOutputStream outputStream = resp.getOutputStream();
            outputStream.write(new String("非法请求".getBytes(),"utf-8").getBytes());
            outputStream.flush();
        } else {
            filterChain.doFilter(request, response);
        }
    }

    //效验
    protected static boolean sqlValidate(String str){
        String badStr =
                "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"
                        + "(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute|\\>|\\<)\\b)";
        Pattern compile = Pattern.compile(badStr, Pattern.CASE_INSENSITIVE);
        Matcher matcher = compile.matcher(str);
        //使用正则表达式进行匹配
        return matcher.find();
    }

    @Override
    public void destroy() {

    }

}

添加完成后重启项目然后测试一下SQL注入的问题试试呢。自测没问题

你若盛开、蝴蝶自来
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
若依管理系统后台sql注入漏洞分析
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-23 2072
本文以RuoYi为例学习并整理了基于Mybatis框架的sql注入原理和场景,为高效快速挖掘基于Mybatis框架的sql注入提供一种思路和参考。若依管理系统是基于SpringBoot框架开发的,并利用MyBatis框架进行数据库操作。在RuoYi
【漏洞复现】若依系统后台SQL注入漏洞
晚风不及你
02-27 980
若依系统(RuoYi)是一套基于SpringBoot的权限管理系统,核心技术采用Spring、MyBatis、Shiro,众多政府、企业采用它作为某些系统的权限管理后台,使用率较高。
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
CVE-2023-49371 RuoYi 若依后台管理系统存在SQL注入漏洞
qq_27536045的博客
12-14 1928
CVE-2023-49371|RuoYi 若依后台管理系统存在SQL注入漏洞 (漏洞复现)
CVE-2023-49371 RuoYi 若依后台管理系统存在SQL注入漏洞(1)
最新发布
2401_84519960的博客
05-16 501
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
人人与若依sql注入处理解析
qq_39007838的博客
09-16 1300
sql 注入
如何防止sql注入防止sql注入方法介绍
小小博客爱分享
08-18 7340
一、什么叫SQL注入攻击?sql注入简介 SQL注入是较为普遍的互联网攻击方法,它并不是通过电脑操作系统的BUG来完成攻击,而是对于程序编写时的疏漏,利用SQL语句,达到无帐号登录,乃至改动数据库的目的。 SQL注入产生的原因便是:没经查验或是未充分检验的输入数据,出现意外变成了sql代码而被执行。对于SQL注入,则是递交的数据,被数据库系统编译而造成了开发人员预估以外的问题。也就是说,SQL注入是用户的输入信息,在连接SQL语句的过程中,跨越了数据本身,变成了SQL语句逻辑的一部分,随后被拼凑的SQL
若依封装的SqlUtil [sql注入的order by,校验order by语法规则]
snowing1997的博客
07-14 817
若依封装的SqlUtil [sql注入的order by,校验order by语法规则]
mybatis防止sql注入
chaoge的it成长之路
12-23 1014
  sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需...
CVE-2024-49371 RuoYi 若依后台管理系统存在SQL注入漏洞
2401_84164546的博客
04-09 1415
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
springboot+mybatis+sqlserver
04-12
【标题】"springboot+mybatis+sqlserver"是一个基于Spring Boot、MyBatis和Microsoft SQL Server构建的基础开发框架,适用于快速开发企业级应用。这个框架整合了三个关键组件,旨在简化开发流程,提高开发效率。 ...
springboot在项目中集成 mysqlsqlserver多数据源项目源代码.zip
08-12
Spring Boot作为一款轻量级的框架,它提供了便捷的方式将这些不同的数据库集成到同一个项目中。本项目源码即展示了如何在Spring Boot项目中实现MySQLSQL Server的多数据源配置。 首先,我们需要理解什么是数据源...
SpringBoot框架Datasource注入
04-20
Spring Boot框架中,`DataSource`的注入是应用程序与数据库交互的基础。`DataSource`是一个接口,通常由诸如HikariCP、Druid或Tomcat JDBC等实现提供,它负责存储和管理数据库连接,使得我们的应用能够高效且安全...
最新java若依框架源码.zip
02-08
若依框架中,SpringBoot用于处理应用的生命周期管理、自动配置、内嵌Web服务器等。 2. **权限管理**: 权限管理是系统安全的重要组成部分。若依框架通过集成Apache Shiro或Spring Security来实现用户登录验证、...
代码审计.Springboot(ruoyi).SQL注入
qq_34012951的博客
02-28 310
1、\确定持久层框架。
系统软件防止SQL注入的过滤器
zqh169的博客
04-29 218
首先在系统了写个过滤器。 public class AntiSqlInjectionfilter implements Filter{ public void destroy() { // TODO Auto-generated method stub } public void init(FilterConfig arg0) th...
洞态IAST检测RuoYi的sql注入漏洞
weixin_40418457的博客
07-27 1832
一、背景 因为看到 Xcheck 发的自动检测到开源项目 RuoYi 的 sql 注入漏洞,因此打算用该漏洞验证一下洞态 IAST 的漏洞检测能力。洞态 IAST 的检测方式是扫描运行中的应用程序,将扫描到的漏洞信息发送到云端进行处理、展示。 二、验证方式 本次验证选择在本地 IDEA 运行 Xcheck 测试的 RuoYi 版本(4.6.1),使用洞态 IAST 的 IDEA 插件对其进行快速检测。 三、本地环境搭建 克隆 RuoYi 源码 $ git clone https://github.com/
墨者 - SQL注入漏洞测试(报错盲注)
吃肉唐僧的博客
07-07 2671
根据题意,用updatexml构造报错回显' and updatexml(1,concat(0x7e,(select user()),0x7e),1)--+ 爆库 ' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+ 爆表' and updatexml(1,concat(0x7e,(select table_n...
若依源码学习8:XSS攻击以及全局异常处理
小宇哥x的博客
04-12 5312
1、 XSS 攻击 1.1、什么是XSS攻击? **XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。**XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。 那么XSS攻击最主要有如下分类:反射型、存储型、及 DOM-based型。 反射性和DOM-baseed型可以归类为非持久性XSS攻击。存储型可以.
如何解决sql注入问题
05-25
SQL注入攻击是指攻击者通过构造恶意的SQL语句,来实现对数据库的非法访问和操作,从而造成数据泄露、数据篡改等危害。为了SQL注入攻击,可以采取以下措施: 1. 使用参数化查询:参数化查询是一种将SQL语句和参数分开的技术,可以有效地防止SQL注入攻击。 2. 对用户输入进行过滤和验证:对用户输入的数据进行过滤和验证,可以有效地防止SQL注入攻击。例如,可以对输入的数据进行转义处理,过滤掉敏感字符等。 3. 限制用户权限:限制用户对数据库的访问权限,可以避免攻击者通过注入恶意代码来获取敏感数据。 4. 更新数据库和应用程序:定期更新数据库和应用程序,可以修复已知的漏洞,从而提高系统的安全性。 5. 使用火墙:使用火墙可以对SQL注入攻击进行监控和过滤,从而保护数据库的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值