java类过滤器,防止页面sql注入

最新推荐文章于 2024-04-16 23:08:28 发布
最新推荐文章于 2024-04-16 23:08:28 发布
阅读量1.5w 收藏 13
点赞数 1
分类专栏: java 文章标签: sql java string insert delete table 
package com.tarena.dingdang.filter;

import java.io.IOException;
import java.util.Enumeration;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class AntiSqlInjectionfilter implements Filter {

	public void destroy() {
		// TODO Auto-generated method stub
	}
	
	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub
	}
	
	public void doFilter(ServletRequest args0, ServletResponse args1,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req=(HttpServletRequest)args0;
		HttpServletRequest res=(HttpServletRequest)args1;
		 //获得所有请求参数名
        Enumeration params = req.getParameterNames();
        String sql = "";
        while (params.hasMoreElements()) {
            //得到参数名
            String name = params.nextElement().toString();
            //System.out.println("name===========================" + name + "--");
            //得到参数对应值
            String[] value = req.getParameterValues(name);
            for (int i = 0; i < value.length; i++) {
                sql = sql + value[i];
            }
        }
        //System.out.println("============================SQL"+sql);
        //有sql关键字,跳转到error.html
        if (sqlValidate(sql)) {
            throw new IOException("您发送请求中的参数中含有非法字符");
            //String ip = req.getRemoteAddr();
        } else {
            chain.doFilter(args0,args1);
        }
    }
	
	//效验
	protected static boolean sqlValidate(String str) {
	    str = str.toLowerCase();//统一转为小写
	    String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" +
	    		"char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" +
	    		"table|from|grant|use|group_concat|column_name|" +
	            "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +
	            "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字,可以手动添加
	    String[] badStrs = badStr.split("\\|");
	    for (int i = 0; i < badStrs.length; i++) {
	        if (str.indexOf(badStrs[i]) >= 0) {
	            return true;
	        }
	    }
	    return false;
	}
}


<!--在web.xml文件中的配置-->
<!-- 防止SQL注入的过滤器 -->
	<filter>
		<filter-name>antiSqlInjection</filter-name>
		<filter-class>com.tarena.dingdang.filter.AntiSqlInjectionfilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>antiSqlInjection</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>


sytylyl
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
java过滤器sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
sql注入Java过滤器
11-10
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
java 过滤器filter防sql注入
热门推荐
谢彬のCSDN专栏
04-04 1万+
XSSFilter.java public void doFilter(ServletRequest servletrequest, ServletResponse servletresponse, FilterChain filterchain) throws IOException, ServletException { //flag = true 只做URL验证;
Python Flask Web开发:深入SQLAlchemy实践与安全防护策略
最新发布
weixin_45002431的博客
04-16 757
Python Flask作为一款轻量级且灵活的Web框架,常与SQLAlchemy ORM结合使用,以构建高效、结构化的数据库交互层。本文将详述SQLAlchemy的使用方法、注意事项,并探讨如何通过最佳实践来防范SQL注入攻击。同时,我们将阐述Jinja2模板引擎的常规与高级用法及其安全注意事项,为Python Flask Web开发提供全面的指导。
XSS过滤JAVA过滤器filter 防止常见SQL注入
weixin_34092370的博客
04-08 361
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码...
java防止sql注入过滤器
peter_qyq的博客
04-11 6799
普通的列表模糊查询,可能会被sql注入利用,造成数据泄漏,严重的甚至导致删表删库! 貌似正常的sql语句 SELECT*FROMtblStudentWHEREunit_namelike'%aaa%'orderbycreate_timedesclimit 0, 30 ; 倘若想要借此进行sql注入,input输入框中输入aaa%' or '1%'= '1,...
java过滤防止sql注入过滤
weixin_30300523的博客
09-01 238
/** * 过滤特殊字符 * @author: Simon * @date: 2017年8月31日 下午1:47:56 * @param str * @return */ public static String StringFilter(String str){ str = str.replaceAll("<", "&lt;").replaceAll(">"...
java 过滤器filter防sql注入的实现代码
09-01
本文将详细介绍如何使用Java Filter实现防止SQL注入的功能。 首先,我们需要创建一个实现了`javax.servlet.Filter`接口的类,例如名为`XSSFilter`。这个类将负责拦截请求并处理可能存在的SQL注入风险。下面是一个...
java过滤器防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
javasql注入攻击过滤器
08-09
javasql注入攻击过滤器 filter
Java防止SQL注入(通过Filter过滤器功能进行拦截)
qq_37272886的博客
05-18 6409
前言 contentType=multipart/form-data的header以文件流的的形式上传文件时,如果代码中使用了Filter,会出现无法用Filter 中用ServletRequest.getParameter 方法取不到一并提交上来的参数 multipart/form-data格式: package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import java.
java程序防止sql注入的方法
jun0052的专栏
01-25 1万+
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。 第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setStrin
SQL注入过滤器
barret的博客
08-04 431
一个防SQL注入过滤器
过滤器实现全局防SQL注入
ACGkaka的博客
10-28 4253
目录SqlInjectFilter.javaMyRequestWrapper.java 场景: 公司渗透测试,发现了输入框有SQL注入风险,于是进行修改。 解决方案: 增加全局过滤器,对请求参数中存在SQL过滤器的参数进行提示,主要增加了两个类: SqlInjectFilter,过滤器; MyRequestWrapper,用于过滤器中获取POST请求参数。 SqlInjectFilter.java import com.alibaba.fastjson.JSONObject; import com.
Java Filter防止sql注入攻击
Saladbobo的专栏
12-18 236
Java Filter防止sql注入攻击 原理,过滤所有请求中含有非法的字符,例如:, & < select delete 等关键字,黑客可以利用这些字符进行注入攻击,原理是后台实现使用拼接字符串,案例:某个网站的登入验证的SQL查询代码为 strSQL = "SELECT * FROM users WHERE (nam...
SQL注入漏洞-Java 解决方法(一)过滤器
Zxdwr520的博客
07-30 3020
这个是常见的漏洞了,相信大家都不会陌生,直接上解决该漏洞的代码 package com.ifan.soft.filter; import java.io.IOException; import java.text.SimpleDateFormat; import java.util.Date; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; impor.
java sql注入 过滤器_java_java 过滤器filter防sql注入的实现代码,实例如下: XSSFilter.java pub - phpStudy...
weixin_39890327的博客
02-24 205
java 过滤器filter防sql注入的实现代码实例如下:XSSFilter.javapublic void doFilter(ServletRequest servletrequest,ServletResponse servletresponse, FilterChain filterchain)throws IOException, ServletException {//flag = t...
Java防止SQL注入的一些途径
主题模板站的博客
01-31 2216
javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。35 //TODO这里发现sql注入代码的业务逻辑代码。
java过滤器防止sql注入
06-02
为了防止 SQL 注入攻击,可以通过在 Java Web 应用中使用过滤器(Filter)来拦截和处理用户输入的请求。以下是一些常见的方法: 1. 对用户输入的数据进行过滤和验证,比如限制输入长度、检查数据类型等。 2. 使用预编译的 SQL 语句,而不是拼接字符串的方式来构建 SQL 语句。 3. 使用框架提供的防止 SQL 注入的方法,比如 Hibernate 的 HQL 查询语言。 4. 对于特殊字符(如单引号、反斜杠等)进行转义处理,比如使用 Apache Commons Lang 库的 StringEscapeUtils.escapeSql() 方法。 5. 在过滤器中使用一些防止 SQL 注入的工具,比如 OWASP ESAPI(Enterprise Security API)。 总之,防止 SQL 注入攻击需要从多个方面入手,包括代码实现和框架选择等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值