1.
import java.util.regex.Matcher;
import java.util.regex.Pattern;import org.apache.commons.lang.StringUtils;
/*
* 去掉请求中的js、html、style、等字符,防止xss攻击
*/
public class DeleteJS {
private static final String regEx_script = "<script[^>]*?>[\\s\\S]*?<\\/script>"; // 定义script的正则表达式
private static final String regEx_style = "<style[^>]*?>[\\s\\S]*?<\\/style>"; // 定义style的正则表达式
private static final String regEx_html = "<[^>]+>"; // 定义HTML标签的正则表达式
private static final String regEx_space = "\\s*|\t|\r|\n";//定义空格回车换行符
private static final String regEx_special="[()''<>\"\"]";
/**
* @param htmlStr
* @return
* 删除Html标签
*/
private static String delHTMLTag(String htmlStr) {
//System.out.println(htmlStr);
Pattern p_script = Pattern.compile(regEx_script, Pattern.CASE_INSENSITIVE);
Matcher m_script = p_script.matcher(htmlStr);
htmlStr = m_script.replaceAll(""); // 过滤script标签
Pattern p_style = Pattern.compile(regEx_style, Pattern.CASE_INSENSITIVE);
Matcher m_style = p_style.matcher(htmlStr);
htmlStr = m_style.replaceAll(""); // 过滤style标签
Pattern p_html = Pattern.compile(regEx_html, Pattern.CASE_INSENSITIVE);
Matcher m_html = p_html.matcher(htmlStr);
htmlStr = m_html.replaceAll(""); // 过滤html标签
Pattern p_space = Pattern.compile(regEx_space, Pattern.CASE_INSENSITIVE);
Matcher m_space = p_space.matcher(htmlStr);
htmlStr = m_space.replaceAll(""); // 过滤空格回车标签
Pattern p_specialString = Pattern.compile(regEx_special,Pattern.CASE_INSENSITIVE);
Matcher m_specialString = p_specialString.matcher(htmlStr);
htmlStr = m_specialString.replaceAll(""); // 过滤非法字符标签
return htmlStr.trim(); // 返回文本字符串
}
public static String getTextFromHtml(String htmlStr){
if(StringUtils.isBlank(htmlStr)){
return null;
}
htmlStr = delHTMLTag(htmlStr);
htmlStr = htmlStr.replaceAll(" ", "");
//System.out.println(htmlStr);
// htmlStr = htmlStr.substring(0, htmlStr.indexOf("。")+1);
return htmlStr;
}
// public static void main(String[] args) {
// String str = "<div style='text-align:center;'> 整治“四风” 清弊除垢<br/><span style='font-size:14px;'> </span><span style='font-size:18px;'>公司召开党的群众路线教育实践活动动员大会</span><br/></div>`~!@#$%^&*()+=|{}':;',\\[\\].<>/?~!@#¥%……&*()鼎折覆餗三发大水发大水——+|{}【】‘;:”“’。,、?";
// System.out.println(getTextFromHtml(str));
// }
public static void main(String[] args) {
String aa = "aaaa-xxxx-sss-MM%-dd";
System.out.println(aa);
System.out.println(getTextFromHtml(aa));
}
}
2.
public class TransactSQLInjection {
public static String replace(String params) {
if(params != null){
return params.replaceAll(".*([';]+|(--)+).*", " ");
}
return null;
}
public static void main(String[] args) {
System.out.println(TransactSQLInjection.replace("12312zhangchang-0983"));
}
}
3.
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.Date;
/**
*
* 遍历对象属性值(利用反射实现),可以在需要对 对象中的每个字段都执行相同的处理时使用,该工具遍历所有属性执行防注入的处理
*
*/
public class DisposeUtil {
public static Object dispose(Object object){
Field[] field = object.getClass().getDeclaredFields(); // 获取实体类的所有属性,返回Field数组
try {
for (int j = 0; j < field.length; j++) { // 遍历所有属性
String name = field[j].getName(); // 获取属性的名字
name = name.substring(0, 1).toUpperCase() + name.substring(1); // 将属性的首字符大写,方便构造get,set方法
String type = field[j].getGenericType().toString(); // 获取属性的类型
if (type.equals("class java.lang.String")) { // 如果type是类类型,则前面包含"class ",后面跟类名
Method m = object.getClass().getMethod("get" + name);
String value = (String) m.invoke(object); // 调用getter方法获取属性值
//.....处理........
String t_value = TransactSQLInjection.replace(DeleteJS.getTextFromHtml(value));
//.....处理........
m = object.getClass().getMethod("set"+name,String.class);
m.invoke(object, t_value);
}
if (type.equals("class java.lang.Integer")) {
Method m = object.getClass().getMethod("get" + name);
Integer value = (Integer) m.invoke(object);
if (value == null) {
m = object.getClass().getMethod("set"+name,Integer.class);
m.invoke(object, 1);
}
}
if (type.equals("class java.lang.Boolean")) {
Method m = object.getClass().getMethod("get" + name);
Boolean value = (Boolean) m.invoke(object);
if (value == null) {
m = object.getClass().getMethod("set"+name,Boolean.class);
m.invoke(object, false);
}
}
if (type.equals("class java.util.Date")) {
Method m = object.getClass().getMethod("get" + name);
Date value = (Date) m.invoke(object);
if (value == null) {
m = object.getClass().getMethod("set"+name,Date.class);
m.invoke(object, new Date());
}
}
// 如果有需要,可以仿照上面继续进行扩充,再增加对其它类型的判断
}
} catch (NoSuchMethodException e) {
e.printStackTrace();
} catch (SecurityException e) {
e.printStackTrace();
} catch (IllegalAccessException e) {
e.printStackTrace();
} catch (IllegalArgumentException e) {
e.printStackTrace();
} catch (InvocationTargetException e) {
e.printStackTrace();
}
return object;
}
}