Java防止SQL注入(通过Filter过滤器功能进行拦截)

最新推荐文章于 2024-02-23 09:38:06 发布
最新推荐文章于 2024-02-23 09:38:06 发布
阅读量6.2k 收藏 20
点赞数 4
文章标签: java spring sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37272886/article/details/124843270
版权

前言

contentType=multipart/form-dataheader以文件流的的形式上传文件时,如果代码中使用了Filter,会出现无法用Filter 中用 ServletRequest.getParameter 方法取不到一并提交上来的参数

multipart/form-data格式:

package com.cn.unit.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.apache.commons.lang.StringUtils;
import org.springframework.web.multipart.MultipartHttpServletRequest;
import org.springframework.web.multipart.commons.CommonsMultipartResolver;

/**
 * 过滤器
 * Created by adonis on 2020/12/12
 */
public class SafeFilter implements Filter{
	
	// 配置信息对象
	public FilterConfig filterConfig;
	
	/**
	 * 初始化
	 * 与我们编写的Servlet程序一样,Filter的创建和销毁由WEB服务器负责。 
	 * Web应用程序启动时,Web服务器将创建Filter的实例对象,并调用其init方法,读取web.xml配置,
	 * 完成对象的初始化功能,从而为后续的用户请求作好拦截的准备工作。
	 * Filter对象只会创建一次,init方法也只会执行一次。
	 * 开发人员通过init方法的参数,可获得代表当前Filter配置信息的FilterConfig对象。
	 */
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    	filterConfig = config;
	}
 	
 	/**
     * 拦截请求
     * 这个方法完成实际的过滤操作。当客户请求访问与过滤器关联的URL的时候,Servlet过滤器将先执行doFilter方法。
     * FilterChain参数用于访问后续过滤器。
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        String enctype = httpRequest.getContentType();
        if(StringUtils.isNotBlank(enctype) && enctype.contains("multipart/form-data")){
        	// 上传文件
        	CommonsMultipartResolver commonsMultipartResolver = new CommonsMultipartResolver(
    			   httpRequest.getSession().getServletContext());
    		MultipartHttpServletRequest multipartRequest = commonsMultipartResolver.resolveMultipart(httpRequest);
    		XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(multipartRequest);
    		chain.doFilter(xssRequest, response);
        }else{
        	// 普通表单和Ajax
        	XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
        	chain.doFilter(xssRequest, response);
        }
    }
    
    /**
     * 销毁
     * Filter对象创建后会驻留在内存,当Web应用移除或服务器停止时才销毁。在Web容器卸载Filter对象之前被调用。
     * 该方法在Filter的生命周期中仅执行一次。在这个方法中,可以释放过滤器使用的资源。
     */
    @Override
    public void destroy() {
    	this.filterConfig = null;
	}
	
}

其他格式:

public class SqlInjectionFilter implements Filter {
 
    public void destroy() {
        // TODO Auto-generated method stub
    }
     
    public void init(FilterConfig arg0) throws ServletException {
        // TODO Auto-generated method stub
    }
     
    public void doFilter(ServletRequest args0, ServletResponse args1,
            FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req=(HttpServletRequest)args0;
        HttpServletResponse res=(HttpServletResponse)args1;
         //获得所有请求参数名
        Enumeration params = req.getParameterNames();
        String sql = "";
        while (params.hasMoreElements()) {
            //得到参数名
            String name = params.nextElement().toString();
            //System.out.println("name===========================" + name + "--");
            //得到参数对应值
            String[] value = req.getParameterValues(name);
            for (int i = 0; i < value.length; i++) {
                sql = sql + value[i];
            }
        }
        //System.out.println("============================SQL"+sql);
        //有sql关键字,跳转到error.html
        if (sqlValidate(sql)) {
            throw new IOException("您发送请求中的参数中含有非法字符");
            //String ip = req.getRemoteAddr();
        } else {
            chain.doFilter(args0,args1);
        }
    }
     
    //效验
    protected static boolean sqlValidate(String str) {
        str = str.toLowerCase();//统一转为小写
        String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" +
                "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" +
                "table|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字,可以手动添加
        String[] badStrs = badStr.split("\\|");
        for (int i = 0; i < badStrs.length; i++) {
            if (str.indexOf(badStrs[i]) >= 0) {
                return true;
            }
        }
        return false;
    }
}

低调使人进步
关注
  • 4
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,文章会分享出整个Filter文件包,包含四个java文件: 5.1,public class CrosXssFilter implements Filter 5.2,public class CrosXssFilterConfig implements WebMvcConfigurer 5.3,public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter 5.4,public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper 6,服务器白名单校验的java文件: 6.1,public class ServerWhiteListUtil 7,如果不要需要使用服务器白名单功能,那么,注释CrosXssFilter.java 文件的36-39行文件代码即可 原文链接:https://blog.csdn.net/zlxls/article/details/107432468
SQL注入过滤 (Java版)
11-17
SQL 安全注入漏洞过滤器Java实现 Java类实现,以及配置文件web.xml
Java——防止SQL注入的几种策略
最新发布
zhanglongfei1016的专栏
02-23 894
SQL注入SQL Injection)是一种常见的网络安全漏洞,它允许攻击者通过操纵应用程序的输入来执行恶意的SQL查询。这种漏洞发生在应用程序没有正确验证、过滤或转义用户提供的输入数据时。攻击者可以利用这个漏洞来执行未经授权的数据库操作,例如删除数据、修改数据或者获取敏感信息。以下是SQL注入的一些关键特点和示例:用户输入未经验证:SQL注入通常发生在应用程序未正确验证或过滤用户提供的输入数据的情况下。用户输入可以包括表单字段、URL参数、Cookie等。
java过滤器防止页面sql注入
sytylyl的专栏
10-16 1万+
package com.tarena.dingdang.filter; import java.io.IOException; import java.util.Enumeration; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import
sql注入与空间分配总结
QJKT7777777的专栏
12-27 506
where name=""........................... 页面登陆框要求输入name 正确的是aaa 可以输入aaa'or 1=1或aaa_等情况 ,要拦截这种SQL注入情况,拦截器 --------------------------------------------------------------------------------------------
Java--Filter过滤器防止XSS SQL注入
JustinQin
11-17 2734
一、攻击说明 XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入 所谓SQL注入,就是通过把SQL命令插入到...
java过滤器sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
java 过滤器filtersql注入
热门推荐
谢彬のCSDN专栏
04-04 1万+
XSSFilter.java public void doFilter(ServletRequest servletrequest, ServletResponse servletresponse, FilterChain filterchain) throws IOException, ServletException { //flag = true 只做URL验证;
javasql注入攻击过滤器
08-09
javasql注入攻击过滤器 filter
XSS过滤JAVA过滤器filter 防止常见SQL注入
weixin_34092370的博客
04-08 324
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码...
java sql注入 过滤器_java_java 过滤器filtersql注入的实现代码,实例如下: XSSFilter.java pub - phpStudy...
weixin_39890327的博客
02-24 197
java 过滤器filtersql注入的实现代码实例如下:XSSFilter.javapublic void doFilter(ServletRequest servletrequest,ServletResponse servletresponse, FilterChain filterchain)throws IOException, ServletException {//flag = t...
SpringBoot+MybatisPlus+Thymeleaf+Layui+Html+SqlServer
06-02
本框架简单上手,注释明了,合适新手 略:框架命名随便取的 前端: Layui 2.6.8 + thymeleaf + html + jquery 前端框架 后端: SpringBoot 2.3.5.RELEASE Mybatis-Plus 3.4.0 持久化框架 mybatis-plus-generator 3.4.0 代码生成器 Sql Server 2008 数据库 Filter + XSS 漏洞拦截 过滤器 其他: redis 自行添加 引入了lombok插件,简化了实体类的编写 使用HandlerInterceptor进行了操作权限控制+前端th:if等 数据库表使用自增唯一ID 封装了mybatis-plus-generator代码生成器,使用菜单操作即可生成前后端代码 内置swagger2接口API 加密: AES + Base64 等 系统访问路径:http://localhost:8080/human-resources-system 账号:admin 密码:123456
java web Xss及sql注入过滤器.zip
04-22
java web 过滤器防止Xss、sql注入,基于spring boot 2.0框架开发。
sql注入Java过滤器
11-10
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
防止sql注入的url过滤器java filter
01-14
防止sql注入的url过滤器,简单配置即可!
java 过滤器filtersql注入的实现代码
09-01
下面小编就为大家带来一篇java 过滤器filtersql注入的实现代码。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
预防XSS攻击和SQL注入XssFilter
07-23
三、过滤器配置 web.xml配置 <filter> <filter-name>XssFilter</filter-name> <filter-class>com.xxx.Filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>XssFilter</filter-name> ...
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
java拦截防止sql注入
12-27
Java中,可以使用拦截器来防止SQL注入攻击。下面是两种常见的方法: 方法一:使用过滤器 在web.xml文件中配置一个过滤器,该过滤器可以拦截所有以".do"结尾的URL,并对请求参数进行检查,防止SQL注入攻击。 ```xml <!-- 防止SQL注入过滤器 --> <filter> <filter-name>sqlInjectionFilter</filter-name> <filter-class>com.suning.mcms.web.auth.filter.SqlInjectionFilter</filter-class> </filter> <filter-mapping> <filter-name>sqlInjectionFilter</filter-name> <url-pattern>*.do</url-pattern> </filter-mapping> ``` 方法二:使用自定义拦截器类 创建一个实现了javax.servlet.Filter接口的自定义拦截器类,然后在init方法中获取UsersService的实例,并进行相应的处理。 ```java public class WeiXinFilter implements Filter { private UsersService usersService; public void init(FilterConfig fConfig) throws ServletException { ServletContext sc = fConfig.getServletContext(); XmlWebApplicationContext cxt = (XmlWebApplicationContext)WebApplicationContextUtils.getWebApplicationContext(sc); if(cxt != null && cxt.getBean("usersService") != null && usersService == null) usersService = (UsersService) cxt.getBean("usersService"); } // 其他方法省略... } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值