SQL注入漏洞修复

最新推荐文章于 2024-05-16 12:06:35 发布
最新推荐文章于 2024-05-16 12:06:35 发布
阅读量394 收藏 8
点赞数 8
文章标签: sql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011071941/article/details/135205199
版权

SQL注入漏洞修复:

  1. web.xml中添加`
<filter>
    <filter-name>sqlFilter</filter-name>
    <filter-class>com.ces.xarch.filter.SQLFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>sqlFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  1. 将sqlfilter放入对应目录
package com.ces.xarch.filter;



import java.io.IOException;
import java.util.Enumeration;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class SQLFilter implements Filter {
	@Override
	public void destroy() {
		// TODO Auto-generated method stub
	}
	@Override
	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub
	}
	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse res = (HttpServletResponse) response;
		// 获得所有请求参数名
		Enumeration params = req.getParameterNames();
		String sql = "";
		while (params.hasMoreElements()) {
			// 得到参数名
			String name = params.nextElement().toString();
			// System.out.println("name===========================" + name +
			// "--");
			// 得到参数对应值
			String[] value = req.getParameterValues(name);
			for (int i = 0; i < value.length; i++) {
				sql = sql + value[i];
			}
		}
		// System.out.println("============================SQL"+sql);
		// 有sql关键字,跳转到error.html
		if (sqlValidate(sql)) {
			throw new IOException("您发送请求中的参数中含有非法字符");
			// String ip = req.getRemoteAddr();
		} else {
			chain.doFilter(request, response);
		}
	}

	protected static boolean sqlValidate(String str) {
		String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"  
	            + "(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\s)"; 
		Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE); 
		if (sqlPattern.matcher(str).find()) {  
	        return true;  
	    }  
	    return false;
	}
}
薛木木
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
若依管理系统后台sql注入漏洞分析
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-23 2094
本文以RuoYi为例学习并整理了基于Mybatis框架的sql注入原理和场景,为高效快速挖掘基于Mybatis框架的sql注入提供一种思路和参考。若依管理系统是基于SpringBoot框架开发的,并利用MyBatis框架进行数据库操作。在RuoYi
漏洞复现】若依系统后台SQL注入漏洞
晚风不及你
02-27 1025
若依系统(RuoYi)是一套基于SpringBoot的权限管理系统,核心技术采用Spring、MyBatis、Shiro,众多政府、企业采用它作为某些系统的权限管理后台,使用率较高。
java修复sql注入问题常用方法
BHSZZY的博客
10-10 1588
1.把xml里的$换成#2.部分不好换的地方,尝试使用bind标签,看能否实现需求。
CVE-2023-49371 RuoYi 若依后台管理系统存在SQL注入漏洞(1)
最新发布
2401_84519960的博客
05-16 513
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
(SQL)注入漏洞修复
qq_31763129的博客
05-09 6914
一、 /include/filter.inc.php文件,搜索(大概在46行的样子)      return $svar;      修改为      return addslashes($svar);      二、/member/mtypes.php文件,搜索(大概在71行的样子)      $query = "UPDATE `dede_mtypes` SET mtypename='$name...
泛微e-cology9 SQL注入漏洞复现(QVD-2023-5012)
ZL_1618的博客
03-09 1529
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。泛微e-cology9中存在SQL注入漏洞,未经身份认证的远程攻击者即可利用此漏洞获取数据库敏感信息,进一步利用可能导致目标系统被控。
php中sql注入漏洞示例 sql注入漏洞修复
10-26
主要介绍了php中sql注入漏洞示例,大家在开发中一定要注意
PHPCMS2008广告模板SQL注入漏洞修复
10-21
PHPCMS2008是一款流行的开源内容管理系统,然而,如标题所示,它存在一个广告模板SQL注入漏洞,这个问题在2008年的版本中尤为突出。SQL注入是一种常见的网络安全威胁,允许攻击者通过操纵输入数据来执行恶意SQL命令...
SQL注入漏洞全接触.ppt
11-15
"SQL注入漏洞全接触"知识点总结 一、 SQL注入漏洞的定义和原理 * SQL注入漏洞是指攻击者通过构造特殊的输入,来获取或修改服务器上的敏感数据。 * SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及...
Java使用JDBC开发 之 SQL注入攻击和解决方案
a1901149的博客
04-15 946
很多程序员,整天沉浸在业务代码的 CRUD 中,业务中没有大量数据做并发,缺少实战经验,对并发仅仅停留在了解,做不到精通,所以总是与大厂擦肩而过。我把私藏的这套并发体系的笔记和思维脑图分享出来,理论知识与项目实战的结合,我觉得只要你肯花时间用心学完这些,一定可以快速掌握并发编程。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
Java高风险弱点与修复之——SQL injection(SQL注入)
oscar999的专栏
05-26 1282
SQL 注入(SQL injection)是一种常见的安全漏洞,指的是通过在应用程序的输入中注入恶意的 SQL 代码,从而能够执行未经授权的数据库查询。攻击者可以利用这个漏洞来读取、修改或删除数据库中的数据,或者通过应用程序的身份验证机制获得未经授权的访问权限。
SQL注入安全问题解决方案-JAVA
11-25
SQL注入安全问题解决方案-JAVA SQL注入安全问题解决方案-JAVA
Web扫描SQL注入漏洞 Java
05-03
带源码的Java版的web注入漏洞扫描工具
SQL注入漏洞的分析及解决(java
m0_51295053的博客
07-14 1322
SQL注入漏洞的分析及解决1,SQL注入漏洞的演示2,SQL注入漏洞产生的原因3,SQL注入漏洞的解决方案(Java) 1,SQL注入漏洞的演示 2,SQL注入漏洞产生的原因 3,SQL注入漏洞的解决方案(Java) 一,SQL注入漏洞演示 1),数据库中用户和密码 2),验证登陆和sql拼接 模拟登陆验证页面 内联代码片。 package jdbcTest.jdbc.demo4; import java.sql.Connection; import java.sql.ResultSet; im
SQL注入漏洞-Java 解决方法(一)过滤器
Zxdwr520的博客
07-30 3024
这个是常见的漏洞了,相信大家都不会陌生,直接上解决该漏洞的代码 package com.ifan.soft.filter; import java.io.IOException; import java.text.SimpleDateFormat; import java.util.Date; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; impor.
13sql注入修复
技术骨干小李的博客
07-27 2973
sql注入修复思路
若依框架(SpringBoot)增加SQL防注入处理,SpringBoot增加SQL防注入
qq_33317238的博客
12-23 2941
SpringBoot 添加 SQL注入处理,若依框架增加SQL注入处理
java SQL注入修复代码_Java代码审计连载之—SQL注入
weixin_35784728的博客
02-26 424
》系列文章,本文章适合初学者,大牛留下脚印后请绕过,若代码有什么其他问题请忽略,因为那不是重点,此片只讲述SQL注入。本次写了两个简单的页面,一个登陆页面,一个查询id界面,如下:废话不多说,开始!SQL注入原理先看下百度百科对SQL注入的介绍:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应...
sql注入漏洞 为什么有 怎么解决
yueloveme的博客
08-27 1702
给大家推荐个靠谱的公众号程序员探索之路,大家一起加油 ​  package com.qf.zzh; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.util.List; impo...
mysql sql注入漏洞修复
10-24
MySQL SQL注入漏洞修复可以采用以下几种方法: 1. 使用预编译语句:使用预编译语句可以避免SQL注入攻击,因为预编译语句会将SQL语句和参数分开处理,从而避免了恶意用户在参数中注入SQL代码。例如,使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

薛木木

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值