SQL过滤JAVA工具类,防止SQL盲注,XSS反射型攻击

最新推荐文章于 2024-04-23 15:11:40 发布
最新推荐文章于 2024-04-23 15:11:40 发布
阅读量914 收藏
点赞数 1
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tengchengbaba/article/details/108365339
版权

SQL过滤JAVA工具类,防止SQL盲注,XSS反射型攻击
大家都知道,攻击者擅长寻找网站漏洞,如从接口上sql盲注,如果没用后端没用防御,轻则信息泄露,重则删表删库。
这是最近工作需要,做的一个工具类。

package com.invoice.util;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
/**   
 * 防止sql盲注
* @version 1.0  
*/
public class SQLFilterUtil {
	
	public static String SQL(String str){
        return str.replaceAll(".*([';]+|(--)+).*", "");
    }
	
	private static final Logger logger = LoggerFactory.getLogger(SQLFilterUtil.class);
	
	static final String[] char0  = new String[]{".","@","%",";","=","'","/*","*/","--","|","<",">"," or "," xor "," and ",
												"&lt;","&gt;","&#34","&#349","%27"};
	static final String[] keys1  = new String[]{"delete","drop","create","select","truncate","update","insert",
												"alter","declare","xp_cmdshell","exec","execute"};
	static final String[] keys2  = new String[]{"<script","%3cscript","alert","console","document.location","window.location"};
	
	/**
	 * 过滤入口
	 */
	public static String sqlFilter(String str) {
		return filter(str);
	}
	
	
	public static String filter(String str) {
		String str0 = str;
		if (StringUtils.isBlank(str)) {
			return "";
		}
		
		// 敏感字符
		for(String chars0:char0){
			if( str.toLowerCase().contains(chars0) ){
				str = str.replaceAll("(?i)"+chars0, "");			
			}
		}
				
		// 已经替换掉字符的前提下,关键要生效就必须后面带最少一个半角空格
		for(String keys0:keys1){
			if( str.toLowerCase().contains(keys0+" ") ){
				str = str.replaceAll("(?i)"+keys0, "");
			}
		}
 
		// 去掉含有歧义或者其他目的的关键词或语句
		for(String keys0:keys2){
			if( str.toLowerCase().replaceAll("\\s", "").contains(keys0) ){
				str = str.replaceAll("(?i)"+keys0, "");				
			}
		}
		
		if( !str0.equals(str) ){
			logger.warn("检测到非法字符并已过滤。\n原字符:{} \n新字符:{}",str0,str);
			logger.error("检测到非法字符并已过滤.原字符:"+str0+",新字符:"+str+"。时间:"+ new Date());
		}
		return str;
	}
	
	/**
	 * 过滤 Map 中的所有key和values
	 * @param map
	 * @param filterKey 是否过滤key
	 * @return
	 */
	public static Map<String, Object>  filterMap(Map<String, Object> map,boolean filterKey) {
		Map<String, Object> mapNew = new HashMap<>();
		
		for (Map.Entry<String, Object> entry : map.entrySet()) {
			if(filterKey){
				if( null!= entry.getKey() && null!= entry.getValue() ){ // 键值均不为空
					mapNew.put(filter(entry.getKey()), filter(entry.getValue().toString()));
				}else{
					if( null!= entry.getKey()){ // 键 不为空 ,值为空
						mapNew.put(filter(entry.getKey()), null);
					}
				}
			}else{
				if( null!= entry.getValue()){
					mapNew.put( entry.getKey() , filter(entry.getValue().toString()));
				}else{
					mapNew.put( entry.getKey() , null);
				}
			}
			
		}
		
		return mapNew;
	}
	
 
    /**
     * 过滤URL参数值
     * @param url 整个URL
     * @param paras 使用“httpServletRequest.getParameterMap()”获取的URL的参数对
     * @return
     */
    public static String filterParameters(String url,Map<String, String[]> paras) {
        String value = "";
        String valueNew = "";
        for (Map.Entry<String, String[]> entry : paras.entrySet()) {
            String[] values = entry.getValue();
            if (null == values) {
                value = "";
            } else if (values.length>1) {
                for (int i = 0; i < values.length; i++) { //用于请求参数中有多个相同名称
                    value = values[i] + ",";
                }
                value = value.substring(0, value.length() - 1);
            } else {
                value = values[0];//用于请求参数中请求参数名唯一
            }
            
            // 处理参数值:value
            valueNew = filter(value);
            url = url.replace(value, valueNew);
        }
        return url;
    }
    
    /** 
     * java实现不区分大小写替换 
     * @param source 
     * @param oldstring 
     * @param newstring 
     * @return 
     */ 
   public static String IgnoreCaseReplace(String source, String oldstring,String newstring){ 
         Pattern p = Pattern.compile(oldstring, Pattern.CASE_INSENSITIVE); 
         Matcher m = p.matcher(source); 
         String ret=m.replaceAll(newstring); 
         return ret; 
   }

}
灯火栏栅处
关注
专栏目录
SQL过滤工具类
TheGreatButton的博客
11-26 886
import com.jackson0714.common.utils.RRException; import org.apache.commons.lang.StringUtils; /** * SQL过滤 * * @author button */ public class SQLFilter { /** * SQL注入过滤 * @param str 待验证的字符串 */ public static String sqlInject(Strin
SQL注入过滤工具类-Java
分享·收获
04-23 2247
import java.util.HashMap; import java.util.Map; import java.util.regex.Matcher; import java.util.regex.Pattern; import org.apache.commons.lang3.StringUtils; import org.slf4j.Logger; import org.slf4j...
SQL注入过滤Java版)
11-17
SQL 安全注入漏洞过滤器类 Java实现 Java类实现,以及配置文件web.xml
java sql过滤_JavaSQL注入过滤器(拦截器)代码
weixin_33648352的博客
02-20 1992
原文出自:https://blog.csdn.net/seesun2012html前言浅谈SQL注入:所谓SQL注入,就是经过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,达到必定的非法用途。java解决办法一、配置WEB-INF/web.xmlwebindex.htmlSqlInjectFiltercom.seesun2012.web....
java sql过滤_Java防止SQL注入(通过filter过滤器功能进行拦截)
weixin_35659005的博客
02-12 974
package com.jsoft.jblog.filter;import java.io.IOException;import java.util.Enumeration;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servl...
java过滤器,防止XSSSQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
java 防止XssSQL注入攻击
热门推荐
湖人•总冠军
01-17 1万+
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。  1.1.XSS攻击的危害      1、盗取用户资料,比如:登录帐号、...
扫描sql注入与xss攻击的牛b工具
11-02
本文将详细介绍这两种攻击以及相关的防范措施,并介绍一款名为"扫描SQL注射与XSS攻击的牛B工具"的实用工具,以帮助初学者进行渗透测试。 **SQL注入**是一种攻击方式,通过输入恶意的SQL语句,攻击者可以获取、...
Web安全攻防关键技术详解 - SQL注入与XSS攻击实战指南
最新发布
11-07
随后,文章详细探讨了XSS跨站脚本攻击的不同类反射、存储、DOM),并提供了多种绕过XSS过滤的方法,包括利用HTML实体、JavaScript伪协议等。最后,阐述了CSR攻击的原理及防范手段。 适合人群:对Web安全有...
网络安全学习第8篇 - xss攻击java实现反射xss攻击,发送链接诱骗点击,编写服务端获取客户端的cookie信息)
一清道长的个人博客
05-14 4012
请依据课堂所讲解的关于XSS攻防的技术知识,结合你所学过的Web前端编程技术,自行设计一套XSS攻防流程。要求: 1、攻防技术的实现既要有深度也要有广度。 2、需要设计一个前端页面。 3、提交时请提交实验报告以及Web前端代码。 实验文件.rar (1)什么是xss? 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出...
XSSSQL注入
weixin_51909453的博客
12-15 1275
XSSSQL注入 1.实验目的 实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 2.实验过程 实验步骤: XSS部分:利用Beef
yii2框架开发之安全xss、csrf、sql注入、文件上传漏洞攻击
西瓜的博客
02-21 8132
常见的漏洞攻击:1、xss:是跨站脚本攻击    分3类:1、存储2、反射3、蠕虫2、csrf:是跨站请求伪造攻击    分2类:1、get2、post3、sql注入4、文件上传xss攻击xss攻击可以:盗取用户账号、也可以盗取后进行非法转账、还可以篡改系统信息、网站挂马等存储xss下面我们来看下盗号代码(存储xss):1、通过在浏览器f12 console中输入:2、docume...
java过滤请求参数中的非法字符,防止XSS攻击SQL盲注
02-14 1万+
过滤请求参数中的非法字符,防止XSS攻击SQL盲注
java sql注入 过滤器_java_java 过滤器filter防sql注入的实现代码,实例如下: XSSFilter.java pub - phpStudy...
weixin_39890327的博客
02-24 226
java 过滤器filter防sql注入的实现代码实例如下:XSSFilter.javapublic void doFilter(ServletRequest servletrequest,ServletResponse servletresponse, FilterChain filterchain)throws IOException, ServletException {//flag = t...
sql注入Java过滤
11-10
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
java过滤器防sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
java 过滤sql关键字_java - 如何通过在java-sql应用程序中输入所有列数据来过滤搜索? - SO中文参考 - www.soinside.com...
weixin_39723010的博客
02-25 247
在过去的几天里,我一直在努力解决这个问题。我有一个SerachUser函数,在其中将所有数据(例如年龄,性别,城市和兴趣)输入每个字符串,并将其检查到select查询命令中。如果有数据,请打印出来。很遗憾,搜索无法完全正常进行。例如:我的表用户没有'F'性别。但是,如果我键入“ F”,我仍然会获得数据,而不是显示“ ResultSet in Java中为空”。下面是我完成的简短代码。try{con...
Java_防止XSS攻击_SQL注入
一叶知秋
11-25 3401
Java_防止XSS攻击XSS攻击简介导入依赖自定义XssHttpServletRequestWrapper自定义XssFilter过滤器基于注解基于配置web.xml XSS攻击简介 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript。 导入依赖 借助第三方工具类hutool-all,HtmlUtil对请求对值进行过滤 自定义XssHttpServletRequestWrapper /
Java后端XSS攻击防护和防止SQL注入
Logger
01-07 2882
最近在重构老项目的部分功能,发现项目中没有对XSS攻击防护的过滤,做了XSS过滤器,顺带整理一下内容。 SQL注入 一个SQL注入例子 我们举一个简单的sql注入例子,来解释其是如何进行注入的。假设现有一个登录功能,提交时需要验证用户名和密码,后台的验证是通过查库中的USER表完成的: String sql = "select * from USER where username= ' "+use...
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
zz12345600354的博客
04-23 1122
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值