sql非法字符集过滤

最新推荐文章于 2023-02-13 15:32:53 发布
最新推荐文章于 2023-02-13 15:32:53 发布
阅读量2.1k 收藏
点赞数
分类专栏: 框架基础模块 文章标签: sql非法字符集过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40016949/article/details/83111128
版权

 

import java.io.IOException;
import java.util.Enumeration;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class AntiSqlInjectionfilter implements Filter {
    private static Logger logger = LoggerFactory
            .getLogger(AntiSqlInjectionfilter.class);

    public void destroy() {
        // TODO Auto-generated method stub
    }

    public void init(FilterConfig arg0) throws ServletException {
        // TODO Auto-generated method stub
    }

    public void doFilter(ServletRequest args0, ServletResponse args1,
            FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) args0;
        String method = req.getMethod();
        String getServletPath = req.getServletPath();
        // HttpServletReponse res=(HttpServletReponse)args1;
        if (getServletPath != null && getServletPath.endsWith(".do")) {
            String sql = "";
            // 获得所有请求参数名
            Enumeration params = req.getParameterNames();
            while (params.hasMoreElements()) {
                // 得到参数名
                String name = String.valueOf(params.nextElement());
                // logger.info("UUID:" + uuids.get() + "; 方法名:" + method +
                // "; 参数名:" + name);
                if ("password".equals(name) || "ticket".equals(name)) {
                    continue;
                }
                // 得到参数对应值
                String[] value = req.getParameterValues(name);
                for (int i = 0; i < value.length; i++) {
                    sql = sql + value[i];
                }
            }
            try {
                if (sqlValidate(sql)) {
                    throw new IOException("您发送请求中的参数中含有非法字符");
                } else {
                    chain.doFilter(args0, args1);
                }
            } catch (Exception e) {
                e.printStackTrace();
            }
        } else {
            chain.doFilter(args0, args1);
        }

    }

    // 效验
    protected static boolean sqlValidate(String str) {
        str = str.toLowerCase();// 统一转为小写
        String badStr = "\'|\"|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|"
                + "char|declare|sitename|net user|xp_cmdshell|;|or|,|like'|and|exec|execute|insert|create|drop|"
                + "table|from|grant|use|group_concat|column_name|xp_shell|(|)|"
                + "information_schema.columns|table_schema|union|where|select|delete|update|order|count|*|"
                + "chr|mid|master|truncate|char|declare|--|+|,|like|//|/|%|#";// 过滤掉的sql关键字,可以手动添加
        String[] badStrs = badStr.split("\\|");
        for (int i = 0; i < badStrs.length; i++) {
            // 循环检测,判断在请求参数当中是否包含SQL关键字
            if (str.indexOf(badStrs[i]) >= 0 || str.indexOf("\\|\\|") >= 0) {
                return true;
            }
        }
        return false;
    }
}
 

finbarr45
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Python sql注入 过滤字符串的非法字符实例
09-17
主要介绍了Python sql注入 过滤字符串的非法字符实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
mybatis自定义sql非法字符拦截器
yujiubo2008的专栏
02-01 192
mybatis自定义sql非法字符拦截器
PostgreSQL, Greenplum ETL 之 - 非法字符(如0x00)过滤、转换(blob2text, bytea2text)
weixin_34296641的博客
02-02 1881
标签 PostgreSQL , Greenplum , 0x00 , 空字符 , NUL , 数据清洗 , 规则 , 过滤 , 非法字符 背景 如果输入的数据不合法,那么PostgreSQL数据库会报错,不允许写入。 postgres=# select E'\000'; ERROR: invalid byte sequence for enco...
过滤sql非法字符防注入式攻击方法
深海软件信息技术服务网【云中*深海】
05-23 750
这个方法很实用,和我以前用的方法思路是一样,但这个更完整,故贴出来和大家分享!        /**////           /// 过滤sql非法字符          ///           ///  要过滤的字符串          ///  string          public static string Filter(string value)         
SQL SERVER 检查SQL条件参数中是否存在非法字符
博妍工作室
03-13 3778
 CREATE function [dbo].[F_TOOL_ValidateSQL](@sql varchar(2048)) RETURNS INT WITH EXECUTE AS CALLER as /* 检查SQL条件参数中是否存在非法字符,delete ,insert,update */ BEGIN  declare @i int;  set @sql=LOWER(
C#检测是否有危险字符的SQL字符串过滤方法
慢谈人生
02-13 585
C#检测是否有危险字符的SQL字符串过滤方法,避免SQL注入漏洞的发生。
SQL注入案例演示与防范措施大全
热门推荐
乱世刀疤
02-26 1万+
SQL注入攻击案例与应对措施。
springboot 防sql注入,非法字符正则
清心寡欲的博客
10-27 796
/编译正则表达式,并创建Pattern类。// 通过对象的find方法就是查找有没有满足条件的子串。// 通过模式对象得到匹配器对象。return AjaxResult.error("sql脚本含有非法字符
asp下过滤非法的SQL字符的函数代码
10-29
过滤非法的SQL字符,防止sql注入等。里面的体会思路主要运用了批量替换,是个不错的思路。
一个php过滤非法字符
05-03
一个php过滤非法字符类,参数检查并写日志,提交的参数非法,系统会记录您的本次操作,SQL注入日志
检测数据表字段非法字符
08-09
检测数据表字段非法字符:官方正版工具,请放心使用啊
php过滤非法字符类.zip
07-11
介绍一个php过滤非法字符类,参数检查并写日志,提交的参数非法,系统会记录您的本次操作,SQL注入日志 ,需要的朋友可以下载学习参考,希望对朋友们有所帮助。
过滤SQL非法字符
weixin_34279061的博客
04-03 213
/// &lt;summary&gt; /// 过滤SQL非法字符串 /// &lt;/summary&gt; /// &lt;param name="value"&gt;&lt;/param&gt; /// &lt;returns&gt;&lt;/returns&gt; public static string Filter(string value) { if (string
SQL去除特殊字符
zhaozhao121a的博客
10-10 2860
select explode(split(regexp_replace('ssss,', '\\\s+|,|、|/|。', ','),',')) as field;
防止SQL注入-字符串过滤
kang1011的博客
11-13 2848
防止SQL注入-字符串过滤法 例如 SELECT * FROM user_table WHERE username= ‘’ or 1 = 1 – —and password=’’ 危害 通过SQL语句,实现无帐号登录,甚至篡改数据库。 方案一:通常预编译处理。setParem sql注入只对sql语句的准备(编译)过程有破坏作用 而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理, 而不再对sql语句进行解析,准备,因此也就避免了sql注入问题. 方案二:字符
排除SQL非法字符
weixin_30362801的博客
08-05 146
private static string[] StrBadWord() { string[] Bad = new string[] { "'", "\"", ";", "--", ",", "!", "~", "@", "$", "%", "^", "/", " ", "_", ">", "<" }; return Bad;...
mysql非法字符_SQL 数据中不能包含的非法字符有哪些?
weixin_30673943的博客
01-19 2326
展开全部用正则的表达式语句,比如SELECT REGEXP_INSTR ( t.col , '[0-9]+' ) AS A FROM tab1 t用 case when 或者 decode 加正则可以解决oracle貌似没62616964757a686964616fe4b893e5b19e31333365646232有判断是否数字的函数利用正则或者to_number函数也可以自己写一个...
防止xss和sql注入:js特殊字符过滤正则
最新发布
11-10
需要注意的是,JS特殊字符过滤正则表达式只是防止XSS和SQL注入的一种方式,而并非全面解决这些安全问题的方法。开发者还应结合其他安全措施,如限制用户输入的长度和类型、使用参数化查询等,来提高系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

finbarr45

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值