防SQL注入的处理

最新推荐文章于 2024-06-06 14:27:33 发布
最新推荐文章于 2024-06-06 14:27:33 发布
阅读量457 收藏
点赞数
分类专栏: JAVA 文章标签: 防注入 java 反射

1.

import java.util.regex.Matcher;

import java.util.regex.Pattern;


import org.apache.commons.lang.StringUtils;
  /*
   * 去掉请求中的js、html、style、等字符,防止xss攻击
   */
public class DeleteJS {  
    private static final String regEx_script = "<script[^>]*?>[\\s\\S]*?<\\/script>"; // 定义script的正则表达式  
    private static final String regEx_style = "<style[^>]*?>[\\s\\S]*?<\\/style>"; // 定义style的正则表达式  
    private static final String regEx_html = "<[^>]+>"; // 定义HTML标签的正则表达式  
    private static final String regEx_space = "\\s*|\t|\r|\n";//定义空格回车换行符  
    private static final String regEx_special="[()''<>\"\"]";
    /** 
     * @param htmlStr 
     * @return 
     *  删除Html标签 
     */  
    private static String delHTMLTag(String htmlStr) {  
    //System.out.println(htmlStr);
        Pattern p_script = Pattern.compile(regEx_script, Pattern.CASE_INSENSITIVE);  
        Matcher m_script = p_script.matcher(htmlStr);  
        htmlStr = m_script.replaceAll(""); // 过滤script标签  
  
        Pattern p_style = Pattern.compile(regEx_style, Pattern.CASE_INSENSITIVE);  
        Matcher m_style = p_style.matcher(htmlStr);  
        htmlStr = m_style.replaceAll(""); // 过滤style标签  
  
        Pattern p_html = Pattern.compile(regEx_html, Pattern.CASE_INSENSITIVE);  
        Matcher m_html = p_html.matcher(htmlStr);  
        htmlStr = m_html.replaceAll(""); // 过滤html标签  
  
        Pattern p_space = Pattern.compile(regEx_space, Pattern.CASE_INSENSITIVE);  
        Matcher m_space = p_space.matcher(htmlStr);  
        htmlStr = m_space.replaceAll(""); // 过滤空格回车标签  
        
        Pattern p_specialString = Pattern.compile(regEx_special,Pattern.CASE_INSENSITIVE);
        Matcher m_specialString = p_specialString.matcher(htmlStr);
        htmlStr = m_specialString.replaceAll(""); // 过滤非法字符标签 
        
        return htmlStr.trim(); // 返回文本字符串  
    }  
      
    public static String getTextFromHtml(String htmlStr){
    if(StringUtils.isBlank(htmlStr)){
    return null;
    }
        htmlStr = delHTMLTag(htmlStr);  
        htmlStr = htmlStr.replaceAll("&nbsp;", "");  
        //System.out.println(htmlStr);
       // htmlStr = htmlStr.substring(0, htmlStr.indexOf("。")+1);  
        return htmlStr;  
    }  
      
//    public static void main(String[] args) {  
//        String str = "<div style='text-align:center;'> 整治“四风”   清弊除垢<br/><span style='font-size:14px;'> </span><span style='font-size:18px;'>公司召开党的群众路线教育实践活动动员大会</span><br/></div>`~!@#$%^&*()+=|{}':;',\\[\\].<>/?~!@#¥%……&*()鼎折覆餗三发大水发大水——+|{}【】‘;:”“’。,、?";  
//        System.out.println(getTextFromHtml(str));  
//    }  
    public static void main(String[] args) {
String aa = "aaaa-xxxx-sss-MM%-dd";
System.out.println(aa);
System.out.println(getTextFromHtml(aa));
}

2.

public class TransactSQLInjection {

public static String replace(String params) {
if(params != null){
return params.replaceAll(".*([';]+|(--)+).*", " ");
}
return null;
}
public static void main(String[] args) {
System.out.println(TransactSQLInjection.replace("12312zhangchang-0983"));
}
}

3.

import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.Date;


/**
 * 
 * 遍历对象属性值(利用反射实现),可以在需要对 对象中的每个字段都执行相同的处理时使用,该工具遍历所有属性执行防注入的处理
 *
 */
public class DisposeUtil {


public static Object dispose(Object object){
Field[] field = object.getClass().getDeclaredFields(); // 获取实体类的所有属性,返回Field数组
        try {
            for (int j = 0; j < field.length; j++) { // 遍历所有属性
                String name = field[j].getName(); // 获取属性的名字
                name = name.substring(0, 1).toUpperCase() + name.substring(1); // 将属性的首字符大写,方便构造get,set方法
                String type = field[j].getGenericType().toString(); // 获取属性的类型
                if (type.equals("class java.lang.String")) { // 如果type是类类型,则前面包含"class ",后面跟类名
                    Method m = object.getClass().getMethod("get" + name);
                    String value = (String) m.invoke(object); // 调用getter方法获取属性值
                    //.....处理........
                    String t_value = TransactSQLInjection.replace(DeleteJS.getTextFromHtml(value));
                    //.....处理........
                    m = object.getClass().getMethod("set"+name,String.class);
                    m.invoke(object, t_value);
                }
                if (type.equals("class java.lang.Integer")) {
                    Method m = object.getClass().getMethod("get" + name);
                    Integer value = (Integer) m.invoke(object);
                    if (value == null) {
                        m = object.getClass().getMethod("set"+name,Integer.class);
                        m.invoke(object, 1);
                    }
                }
                if (type.equals("class java.lang.Boolean")) {
                    Method m = object.getClass().getMethod("get" + name);
                    Boolean value = (Boolean) m.invoke(object);
                    if (value == null) {
                        m = object.getClass().getMethod("set"+name,Boolean.class);
                        m.invoke(object, false);
                    }
                }
                if (type.equals("class java.util.Date")) {
                    Method m = object.getClass().getMethod("get" + name);
                    Date value = (Date) m.invoke(object);
                    if (value == null) {
                        m = object.getClass().getMethod("set"+name,Date.class);
                        m.invoke(object, new Date());
                    }
                }
                // 如果有需要,可以仿照上面继续进行扩充,再增加对其它类型的判断
            }
        } catch (NoSuchMethodException e) {
            e.printStackTrace();
        } catch (SecurityException e) {
            e.printStackTrace();
        } catch (IllegalAccessException e) {
            e.printStackTrace();
        } catch (IllegalArgumentException e) {
            e.printStackTrace();
        } catch (InvocationTargetException e) {
            e.printStackTrace();
        }
        
        return object;
}

}

u011287511
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入
秋城落叶的博客
03-31 140
SQ注入 就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,以达到欺骗服务器执行恶意的SQL命令 SQL注入产生原因 SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时的攻击行为。其成因可以归结为以下两个原因所造成的: 1.在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句 2.未对用户...
JavaSQL注入的一些途径
主题模板站的博客
01-31 2219
javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来SQL注入比如用Filter来过滤全局的表单参数。35 //TODO这里发现sql注入代码的业务逻辑代码。
Java 项目SQL 注入的四种方案
最新发布
qq_32885471的博客
06-06 515
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重。
Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法...
红太阳照大地
11-05 827
在前面的博客中,我们详细介绍了: sql注入攻击详解(二)sql注入过程详解 sql注入攻击详解(一)sql注入原理详解 我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的止办法。其实对于其他的,思路基本相似。下面我们先...
Java项目SQL注入的四种方案
09-23 238
来源:blog.csdn.net/weixin_42675423/article/details/129298701一、什么是SQL注入?二、Java项目SQL注入方式1、PreparedStatementSQL注入2、mybatis中#{}SQL注入3、对请求参数的敏感词汇进行过滤4、nginx反向代理SQL注入一、什么是SQL注入SQL注入即是指web应用程序对用户输入数据的...
JavaSQL注入的几个途径
零壹
12-17 5979
JavaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构,大部分的SQL注入已经挡住了,在WEB层我们可以过滤用户的输入来SQL注入
SQL注入
暖风吹起云之博客
08-04 3034
SQL注入介绍和护。
SQL注入
ilipan的专栏
11-07 504
方式一: string sqlS = "select * from Info WHERE Sequence=@Sequence"; string sqlConStr = @"Data Source = PANLEE-PC\MSSQLSERVER_2; Initial Catalog = ASPNET; Persist Security Info = True; U
Mybatissql注入的实例
08-30
Mybatissql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要sql注入sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
C#SQL注入代码的三种方法
09-04
在C#中,SQL注入主要有以下三种方法: 1. **避免直接拼接SQL语句** 直接使用字符串拼接构建SQL语句是最容易导致SQL注入的方式。开发者应该避免这种做法,转而使用参数化查询。例如,使用`SqlCommand`对象的`...
Hibernate使用中SQL注入的几种方案
01-20
以下是Hibernate中SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...
360提供的phpsql注入代码修改类
05-02
为了SQL注入,我们需要遵循以下原则: 1. 使用预处理语句:预处理语句(如PDO或mysqli的预处理)可以使SQL语句和参数分离,有效避免注入攻击。 2. 参数化查询:与预处理类似,参数化查询能确保用户输入的数据...
SQL注入原理与解决方法
热门推荐
jayxu无捷之径的博客
08-04 1万+
一、什么是sql注入? 1、什么是sql注入呢?         所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql
SQL注入的方式
yishihuakai的专栏
03-07 1009
原文地址:https://www.jianshu.com/p/09cf541ed13f 什么是sql注入: 原文地址:https://blog.csdn.net/u014590757/article/details/79637015 sql注入: 1,第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可: String sql= ...
SQL 注入及预
IT__learning的博客
08-27 1421
1、什么是 sql 注入 SQL 注入(英语:SQL injection),是发生于应用程序与数据库层的安全漏洞。 当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行 Sql 语句。 这种网站内部直接发送的 sql 请求一般不会有危险,但实际情况是很多时候需要结合用户的输入数据动态构造 Sql 语句,如果用户输入的参数被注入Sql 代码,Web 应用又未对动态构造的 Sql 语句使用的用户输入参数进行审查,那么这些注入进去的恶意 sql 就会被数据库服
java sql语句注入_在 Java 中SQL 注入攻击(SQL Injection)的方法
weixin_30529479的博客
03-04 610
SQL 注入(SQL Injection)是最常见的数据库攻击方式,和其它开发环境一样, Java 也提供了SQL 注入攻击的方法。由于 JDBC 都是基于接口的设计,所以对于不同的数据库,代码基本一样,下面给出一个查询范例: ... Connection conn = DriverManager.getConnection(url, user, password); String q...
SQL注入——SQL Injection
djh1179的博客
09-27 270
本文部分内容转自:https://www.cnblogs.com/rush/archive/2011/12/31/2309203.html http://www.diybl.com/course/7_databases/sql/msshl/2007616/59684_2.html 目录: 一、什么是s...
关于sql注入问题
LYX_WIN
01-08 429
0. SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 注入攻击的总体思路 寻找到SQL注入的位置 判断服务器类型和后台数据库类型 针对不通的服务器和数据库特点进行SQL注入攻击 1. SQL注入原理 以登录账号为例,要求我们输入账号(userName)和密码(pass...
java程序sql注入的方法
jun0052的专栏
01-25 1万+
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序sql注入应该注意的地方。 第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setStrin
.NET SQL注入护全面指南
6. 使用ORM(对象关系映射)工具:例如Entity Framework等,它们在底层处理SQL查询,通常能更好地SQL注入,因为它们会自动参数化查询。 7. 最小权限原则:确保应用程序连接数据库的用户账户只有执行所需操作的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值