spirngmvc解决SQL注入

最新推荐文章于 2023-07-30 10:00:17 发布
最新推荐文章于 2023-07-30 10:00:17 发布
阅读量1.2k 收藏
点赞数
文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34840285/article/details/110523649
版权

SpringMVC解决SQL注入

参考自 [spring解决SQL注入问题:自定义拦截器][https://blog.csdn.net/lj1548259095/article/details/53405088]

一、简介

一个开发好的系统,如果没有增加防SQL注入,那么别人可能会通过SQL注入去对数据库进行非法操作。所以增加防SQL注入就显的比较关键。

二、解决思路

在配置类中设置SQL注入拦截器,通过判断用户输入的参数中是否包含非法攻击性字符来拦截请求。

三、具体实现

1、创建一个拦截器
package *******;

import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Enumeration;

/**
 * @author Lurious
 * @version 1.0
 * @date 2020/12/2 9:44
 * SQL注入拦截器
 */
@Slf4j
@Component
public class SqlInjectInterceptor implements HandlerInterceptor{

    @Override
    public boolean preHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2) throws Exception {
        Enumeration<String> names = arg0.getParameterNames();
        while(names.hasMoreElements()){
            String name = names.nextElement();
            String[] values = arg0.getParameterValues(name);
            for(String value: values){
                //sql注入直接拦截
                if(judgeSQLInject(value.toLowerCase())){
                    arg1.setContentType("text/html;charset=UTF-8");
                    arg1.getWriter().print("参数含有非法攻击字符,已禁止继续访问!");
                    log.error("参数含有非法攻击字符,已禁止继续访问!"+value);
                    return false;
                }
                //跨站xss清理
                clearXss(value);
            }
        }
        return true;
    }
    /**
     * 判断参数是否含有攻击串
     * @param value
     * @return
     */
    public boolean judgeSQLInject(String value){
        if(value == null || "".equals(value)){
            return false;
        }
        String xssStr = "and|select|update|delete|drop|truncate|exec|insert|group|AND|chr|mid|master|char|declare|%20|=|-|--|;|'|%|<|>|&|*|#|+|,|//|/| |\\|!=|(|)";
        String[] xssArr = xssStr.split("\\|");
        // 如果包含特殊字符,则开启拦截
        for (String s : xssArr) {
            if (value.contains(s)) {
                return true;
            }
        }
        return false;
    }
    /**
     * 处理跨站xss字符转义
     *
     * @param value
     * @return
     */
    private String clearXss(String value) {
        if (value == null || "".equals(value)) {
            return value;
        }
        value = value.replaceAll("<", "<").replaceAll(">", ">");
        value = value.replaceAll("\\(", "(").replace("\\)", ")");
        value = value.replaceAll("'", "'");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']",
                "\"\"");
        value = value.replace("script", "");
        return value;
    }
}
2、在配置中注册拦截器,让其生效。
@Configuration
@EnableAspectJAutoProxy
public class WebMvcConfig extends WebMvcConfigurationSupport {
    @Autowired
    private LoginInterceptor loginInterceptor;
    @Autowired
    private SqlInjectInterceptor sqlInjectInterceptor;

    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        // 单页面应用路由配置
        //-------------------------
    }

    @Bean
    public ModelMapper modelMapper(){
        return new ModelMapper();
    }

    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/**")
                .addResourceLocations("classpath:/static/")
                .setCachePeriod(600);
        //----------------------------
        
    }

    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        List<String> patterns = Lists.newArrayList();
        patterns.add("/**");
        // 登陆拦截器
        registry.addInterceptor(loginInterceptor).addPathPatterns(patterns);
        // 添加sql注入拦截器
        registry.addInterceptor(sqlInjectInterceptor).addPathPatterns("/api/**");
        super.addInterceptors(registry);
    }
}

三、存在的问题

1、测试后如果发现sql没有生效,那么可能是因为整个项目中还有其他类继承了WebMvcConfigurationSupport 。

四、检测

添加完配置之后,可以使用SQLmap工具进行检测,验证SQL拦截器是否生效。

加肥猫lurious
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring mysql防注入攻击_Spring MVC 如何防止XSS、SQL注入攻击
weixin_34570507的博客
02-04 192
在Web项目中,通常需要处理XSS,SQL注入攻击,解决这个问题有两个思路:在数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原在显示的时候对非法字符进行转义如果项目还处在起步阶段,建议使用第二种,直接使用jstl的标签即可解决非法字符的问题。当然,对于Javascript还需要自己处理一下,写一个方法,在解析从服务器端获取的数据时执行以下escapeHTML()即可。附:Ja...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
SpringMVC处理脚本,SQL注入问题
weixin_30709061的博客
06-15 175
SpringMVC处理脚本,SQL注入问题(写的不好勿喷,互相学习) 使用 Filter 来过滤浏览器发出的请求,对每个URI参数请求过滤些关键字,替换成安全的字符。所有请求的 getParameter 会被替换,如果参数里面含有敏感词会被替换掉。 对于类似:>"<script>alert('XSS');</script> 一、过滤些敏感的脚本 ...
spring mysql防注入攻击_springmvcsql注入 最简单最直接的方式
weixin_29419979的博客
01-27 655
一直以来服务器没有被攻击过,前一段时间忽然发现数据库中多了很多垃圾数据,很明显是被sql注入的行为,看来是时候要认真起来了。首先,什么是sql注入,度娘一下一大堆,官方语言我就不多说了,说说我自己的理解吧。sql注入就是通过url或者post提交数据时候,字符串类型的参数会被别人利用传入sql语句,最终破坏数据库或者达到一些见不得人的目的。有时候因为业务需要url中会带一些参数,比如 ?type...
SpringBoot 之SpringMVC 常用配置--SQL注入
zhouzhiwengang的专栏
09-19 1088
应用场景:SpringMVC 发送get 请求方式,进行参数的sql 注入攻击清理,如果是post 的请求方式,这段代码是无法正常使用。 拦截器作用: 拦截器Interceptor实现对每一个请求处理前后进行相关的业务处理。类似于Servlet的Filter。 第一种方式:可以让普通的bean实现HandlerInterceptor接口或者继承HandlerInterceptor...
spirngmvc shrio mybitsplus
11-08
它提供了CRUD操作的便捷方法,以及自动填充主键、逻辑删除等功能,降低了SQL编写的工作量。MyBatis Plus与SpringMVC结合,可以在Service或DAO层方便地处理数据库交互,使得数据库操作更加简洁高效。 **整合应用** ...
spirngmvc+hibernate
08-25
标题 "spirngmvc+hibernate" 暗示了我们正在讨论的是一个结合了Spring MVC和Hibernate的项目。Spring MVC是Spring框架的一部分,用于构建Web应用程序,而Hibernate则是一个对象关系映射(ORM)工具,它允许开发人员...
spring spirngMvc Mybatis框架整合(详细、可用)
05-30
**Spring框架**是Java企业级应用的核心组件,它提供了一种依赖注入(Dependency Injection,DI)的方式,使得对象之间的依赖关系可以通过配置文件来管理,而不是硬编码在代码中。Spring还包含了AOP(面向切面编程)...
spirngMVC3.2+spring3.2+hibernate4.1搭建
11-03
- **依赖注入(DI)**:Spring 提供了容器管理对象及其依赖,降低了代码间的耦合。 - **AOP(面向切面编程)**:用于事务管理、日志记录等横切关注点。 - **声明式事务管理**:通过 @Transactional 注解实现,...
SpringMVC整合jdbc+json实例
05-20
它提供了丰富的功能,包括请求处理、视图解析、数据绑定以及依赖注入等。而jdbc(Java Database Connectivity)是Java与数据库交互的标准接口,json(JavaScript Object Notation)则是一种轻量级的数据交换格式,常...
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
springmvcsql注入 最简单最直接的方式
weixin_34419321的博客
11-11 1846
为什么80%的码农都做不了架构师?>>> ...
SpringBoot 之 SpringMVC 实现SQL注入过滤 完整版(支持POST请求和GET请求)
zhouzhiwengang的专栏
09-19 4557
首先请参考:SpringBoot 之 SpringMVC拦截器从Request中获取参数并解决request的请求流只能读取一次的问题 参考完上面的代码,现在开始编辑SQL注入拦截器,核心功能代码如下: package com.digipower.erms.interceptor; import java.io.BufferedReader; import java.io.InputStr...
springmvc 拦截器_SpringMVC是如何利用拦截器防止SQL注入
weixin_39603265的博客
12-06 533
SQL注入简介通俗的讲,SQL注入就是恶意黑客或者竞争对手利用现有的B/S或者C/S架构的系统,将恶意的SQL语句通过表单等传递给后台SQL数据库引擎执行。比如,一个黑客可以利用网站的漏洞,使用SQL注入的方式取得一个公司网站后台的所有数据。试想一下,如果开发人员不对用户传递过来的输入进行过滤处理,那么遇到恶意用户的时候,并且系统被发现有漏洞的时候,后果将是令人难以想象的。最糟糕的是攻击者拿到了数...
SpringMvc拦截器,统一异常拦截,非法sql拦截(小白易懂版
weixin_52293201的博客
05-27 518
SpringMVC中的interceptor拦截器,它主要的作用是拦截指定的用户请求,并进行相应的预处理与后处理。其拦截的时间点在“处理器映射器根据用户提交的请求映射出了所要执行的处理器类,并且也找到了要执行该处理器类的处理器适配器,在处理器适配器执行处理器之前。”当然处理器映射器映射出所要执行的处理器类时,已经将拦截器与处理器组合为了一个处理器执行链,并返回给了中央调度器。
SpringMVC利用拦截器防止SQL注入
weixin_34029949的博客
01-11 794
http://www.imooc.com/article/6137
利用spring AOP 实现 sql注入检测
三三两两的博客
05-20 954
转https://blog.csdn.net/weixin_41922289/article/details/88267790 利用spring AOP 实现 sql注入检测 什么是sql注入? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入...
Spring MVC防御CSRF、XSS和SQL注入攻击
最新发布
CHIKA2333的博客
07-30 786
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值