防sql注入攻击

最新推荐文章于 2021-09-03 22:16:08 发布
最新推荐文章于 2021-09-03 22:16:08 发布
阅读量125 收藏
点赞数
分类专栏: springboot

Filter代码:

import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class SqlInjectionFilter implements Filter {
	protected FilterConfig filterConfig;
	protected String sqlkey = null;

	public void init(FilterConfig filterConfig) throws ServletException {
		this.filterConfig = filterConfig;
		// 过滤掉的sql关键字,可以手动添加 (注意:要过滤中的参数,不能作为系统的URL参数或是表单提交参数)
		this.sqlkey = "'%20@document.cookie@xp_cmdshell@&#39@;@!@*@%3d@%20http@https%20@%20or%20@%6a%61%76%61%73%63%72%69%70%74@%3c@%3e@--@exec@script@javascript@vbscript@expression@script@ftp@dircount@chr@master@truncate@declare@;@dbms@\\(|\\)@<img@%3cimg@like@select@delete@update@into@where@from@alert@<@>@(@)@'@''@\'@\''@<>@()@eval@and+@[window@xml@gbk@uf8@href=@source+@.org@.net@.source@ScRiPt@src=@prompt@expression@width@div@";
	}

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		System.out.println("==进入sql过滤器===");
		HttpServletRequest httprequest = (HttpServletRequest) request;
		HttpServletResponse httpresponse = (HttpServletResponse) response;
		// 用于使 Browser 不缓存页面的过滤器
		httpresponse.setHeader("Cache-Control", "no-cache");
		httpresponse.setHeader("Pragma", "no-cache");
		httpresponse.setDateHeader("Expires", -1);
		List<String[]> list = new ArrayList();
		// 获取url上所有参数的集合
		java.util.Enumeration enu = httprequest.getParameterNames();
		String strurl = httprequest.getRequestURI();

		String url = httprequest.getScheme() + "://";
		url += httprequest.getHeader("host");
		url += httprequest.getRequestURI();
		if (httprequest.getQueryString() != null)
			url += "?" + httprequest.getQueryString();
		strurl = url;

		// 把要过滤的字符形成数据
		// 通过分割sqlkey字符中的参数获取StringTokenizer记录
		String[] temps = sqlkey.split("@");
		String temp = "";
		boolean blag = false;
		for (int i = 0, leng = temps.length; i < leng; i++) {
			temp = temps[i].toLowerCase();
			strurl = strurl.toLowerCase();
			// System.out.println("路径:"+strurl);
			// System.out.println("检查字符:"+temp);
			// System.out.println("位置结果:"+strurl.indexOf(temp));
			if (strurl.indexOf(temp) > 1) {
				System.out.println("路径:" + strurl + "有特殊字符 '" + temp + "' 已进行拦截!");
				blag = true;
				break;
			}
		}

		String refer = httprequest.getHeader("referer");
		if (refer != null) {
			for (int i = 0, leng = temps.length; i < leng; i++) {
				temp = temps[i].toLowerCase();
				refer = refer.toLowerCase();
				// System.out.println("路径:"+strurl);
				// System.out.println("检查字符:"+temp);
				// System.out.println("位置结果:"+strurl.indexOf(temp));
				if (refer.indexOf(temp) > 1) {
					System.out.println("header:" + refer + "有特殊字符 '" + temp + "' 已进行拦截!");
					blag = true;
					break;
				}
			}
		}

		if (blag) {
			// 被过滤掉后的执行动作可自定义
			// httpresponse.sendRedirect("/error.jsp");
			// PrintWriter out = httpresponse.getWriter();
			// out.println("<script language=\"JavaScript\">");
			String path = httprequest.getContextPath();
			// out.println("location.href='"+path+"/badrequest.jsp';");
			// out.println("</script>");
			httpresponse.sendRedirect(path + "/badrequest.jsp");
		} else {
			chain.doFilter(request, response);
		}
		System.out.println("==结束sql过滤器===");
	}

	public void destroy() {
		this.sqlkey = null;
		this.filterConfig = null;
	}
}

config代码:

import java.util.Map;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import com.google.common.collect.Maps;
import com.SqlInjectionFilter;

@Configuration
public class FilterConfig {
	@Bean
	public FilterRegistrationBean sqlFilterRegistrationBean() {
		FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
		filterRegistrationBean.setFilter(new SqlInjectionFilter());
		filterRegistrationBean.setOrder(3);
		filterRegistrationBean.setEnabled(true);
		filterRegistrationBean.addUrlPatterns("/*");
		Map<String, String> initParameters = Maps.newHashMap();
		/*initParameters.put("excludes", "/favicon.ico,/img/*,/js/*,/css/*");
		initParameters.put("isIncludeRichText", "true");*/
		filterRegistrationBean.setInitParameters(initParameters);
		return filterRegistrationBean;
	}
}
qq_40005100
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用PythonSQL注入攻击的实现示例
09-16
### 使用PythonSQL注入攻击的实现示例 #### 文章背景与重要性 随着网络技术的发展,Web应用程序的安全性越来越受到人们的重视。开放式Web应用程序安全项目(OWASP)每几年都会发布一次关于Web应用程序最常见...
Springboot学习(十五) 配置XSS过滤器
文若书生的专栏
01-24 8074
引入JSOUP // https://mvnrepository.com/artifact/org.jsoup/jsoup compile group: 'org.jsoup', name: 'jsoup', version: &quot;${jsoupVersion}&quot; 定义XssHttpServletRequestWrapper public class XssHttpServletR...
开源项目——实现XSS过滤Cookie过滤拦截器(二)
CN華少的博客
08-23 1148
开源项目——实现XSS过滤Cookie过滤拦截器(二) 背景 日常我们开发人员在开发一些常用的平台时都会用到各种各样的接口,而对于这些接口的有效管理都会成为我们的一些麻烦事,一些常见的接口管理平台我们使用起来又不是很顺手,因此我想进行编写一个自己的API接口平台,用于我们日常的一些接口快速开发和管理共享使用。 里面会涉及到各类开发的知识,每项知识我们都会进行同步发布相应的学习记录文章,以便于想要学...
SpringBootXSS攻击
BlueKitty的博客
12-21 2万+
1 . pom中增加依赖 org.jsoup jsoup 1.9.2 2 . 增加标签处理类 package com.xbz.utils; import org.apache.commons.lang3.StringUtils; import org.jsoup.Jsoup; import org.jsoup.nodes.Document; impor
java安全编码指南之:输入注入injection
weixin_45032957的博客
10-12 239
SQL注入 什么是SQL注入呢? SQL注入的意思是,用户输入了某些参数,最终导致SQL的执行偏离了程序设计者的本意,从而导致越权或者其他类型的错误。 也就是说因为用户输入的原因,导致SQL的涵义发送了变化。 拿我们最常用的登录的SQL语句来说,我们可能会写下面的SQL语句: select * from user where username=’’ and password=’’ 我们需要用户传入username和password。 怎么对这个SQL语句进行注入呢? 很简单,当用户的username输入是下
sql注入绕过密码登录详解
qq_40800734的博客
03-22 5640
一.环境 关键源码:$qry="SELECT*FROM`users`WHEREuser='$user'ANDpassword='$pass';"; 用户名是admin;密码是password 二.绕过密码登录 1.构造admin' or '1' ='1(当然是用admin'# 用#号注释掉后面的语句也可以) 传入后变成 select * from 'u...
Nginx中SQL注入攻击的相关配置介绍
09-30
在Nginx中SQL注入攻击是保护Web应用程序安全的重要环节。SQL注入是黑客利用恶意SQL语句侵入数据库的一种常见方法。以下是一些相关的配置介绍,这些配置可以帮助你阻止可能的SQL注入尝试。 首先,了解基本思路:...
asp.net SQL注入攻击
10-29
asp.net网站SQL注入攻击,通常的办法是每个文件都修改加入过滤代码,这样很麻烦,下面介绍一种办法,可以从整个网站注入
SQL注入攻击
07-17
SQL注入是Internet上最危险、最有名的安全漏洞之一,《SQL注入攻击御》是目前唯一一本专门致力于讲解SQL威胁的图书。《SQL注入攻击御》作者均是专门研究SQL注入的安全专家,他们集众家之长,对应用程序的...
springboot中使用过滤器,jsoup过滤XSS脚本
千山暮雪CN
02-28 2627
背景:略 目标:完成request请求中的脚本过滤 技术:filter,jsoup,requestWapper 1.把可能包含脚本的参数位置分析一下--------------------------------- post/put/delete: 请求的参数中,有可能是表单提交、也有可能是使用了@requestBody注解,那么参数就是json格式,位于request的流中。 g...
springboot 过滤器FilterRegistrationBean详解
热门推荐
我的青春一去不复返
09-03 2万+
一:基础知识 1.通过FilterRegistrationBean实例注册,该方法能够设置过滤器之间的优先级 2.为了演示优先级,这里创建2个测试过滤器类:Test1Filter、Test2Filter 通过实现javax.servlet.Filter接口,覆盖其doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2)方法,决定拦截或放行 public class Test1Filter implements Fil
SpringBoot 止XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3389
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSS和SQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
spring boot实战之XSS过滤
思与学的博客
10-06 1万+
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 你可以自己做个简单尝试: 1. 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){aler
SpringbootCSRF攻击
qq_40005100的博客
03-31 2506
下面展示一些 内联代码片。 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet....
利用SQL注入漏洞登录后台
weixin_33787529的博客
04-17 4431
2019独角兽企业重金招聘Python工程师标准>>> ...
chromeforxp.zipchromeforxp.zipchromeforxp.zip
08-04
chromeforxp.zipchromeforxp.zipchromeforxp.zip
shapely-2.0.5-cp311-cp311-win32.whl
最新发布
08-04
shapely-2.0.5-cp311-cp311-win32.whl
[毕业设计]vb+access抽奖系统(系统+论文+开题报告+外文翻译+封面+中英摘要+任务书+中期检查表).zip
08-04
[毕业设计]vb+access抽奖系统(系统+论文+开题报告+外文翻译+封面+中英摘要+任务书+中期检查表)
shapely-2.0.5-cp39-cp39-macosx_10_9_x86_64.whl
08-04
shapely-2.0.5-cp39-cp39-macosx_10_9_x86_64.whl
ASP.NETSQL注入攻击详解
在.NET环境中,SQL注入攻击至关重要。以下是针对该主题的详细说明: 1. 不能盲目相信用户输入: 开发者应该始终假设用户输入可能是不安全的,即使是合法用户也可能被利用。黑客可以使用各种工具绕过浏览器直接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值