SQL注入过滤器

最新推荐文章于 2024-08-23 11:23:01 发布
最新推荐文章于 2024-08-23 11:23:01 发布
阅读量4.5k 收藏 5
点赞数 1

    1、在web.xml中的配置如下:拦截所有请求---项目中使用并通过了安全扫描

<!--  此方法已经通过扫描,可以上线(sql注入)-->
<filter>  
        <filter-name>AntiSqlInjectionfilter</filter-name>  
        <filter-class>com.sunrise.grid.xss.filter.AntiSqlInjectionfilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>AntiSqlInjectionfilter</filter-name>  
        <url-pattern>/*</url-pattern>  
        <dispatcher>REQUEST</dispatcher>  

    </filter-mapping>


    2、具体的SQL过滤器实现类:-----------------------------------------------------------


package com.sunrise.grid.xss.filter;


import java.io.IOException;
import java.util.Enumeration;
import java.util.regex.Pattern;


import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


public class AntiSqlInjectionfilter implements Filter {
    public void destroy() {
        // TODO Auto-generated method stub
    }


    public void init(FilterConfig arg0) throws ServletException {
        // TODO Auto-generated method stub
    }


    public void doFilter(ServletRequest args0, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) args0;
        HttpServletResponse res = (HttpServletResponse) response;
        // 获得所有请求参数名
        Enumeration params = req.getParameterNames();
        String sql = "";
        while (params.hasMoreElements()) {
            // 得到参数名
            String name = params.nextElement().toString();
            // System.out.println("name===========================" + name +
            // "--");
            // 得到参数对应值
            String[] value = req.getParameterValues(name);
            for (int i = 0; i < value.length; i++) {
                sql = sql + value[i];
                if (!isValid(value[i])) {// 主要针对参数的值作过滤
                    response.setContentType("text/plain; charset=utf-8");
                    response.getWriter().write("参数包含敏感词汇");
                    return;
                }
            }
        }
        chain.doFilter(args0, response);
    }


    /*
     * // 效验 protected static boolean sqlValidate(String str) { str =
     * str.toLowerCase();// 统一转为小写 String badStr =
     * "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|"
     * +
     * "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|"
     * + "table|from|grant|use|group_concat|column_name|" +
     * "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|"
     * + "chr|mid|master|truncate|char|declare|or|;|--|+|,|like|//|/|%|#";//
     * 过滤掉的sql关键字,可以手动添加
     * 
     * String[] badStrs = badStr.split("\\|"); for (int i = 0; i <
     * badStrs.length; i++) { if (str.indexOf(badStrs[i]) >= 0) { return true; }
     * } return false; }
     */


    // ORACLE 注解 -- /**/
    // 关键字过滤 update ,delete


    static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"
            + "(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";


    static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);


    /***************************************************************************
     * 参数校验
     * 
     * @param str
     */
    public static boolean isValid(String str) {


        if (sqlPattern.matcher(str).find()) {


            // logger.error("未能通过过滤器:p=" + p);


            return false;
        }
        return true;
    }
}

wanyuanshi
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SQL防注入过滤函数
“小学生”的专栏
01-07 511
今天在google输入"aspx 防注入" ,检索到这文章不错,就摘录。我采集的来源http://blog.donews.com/qzzxl/archive/2008/01/04/1243222.aspx不知是否原创。SQL防注入过滤函数****************************************************过程名:Check
java sql过滤_Java 防SQL注入过滤器(拦截器)代码
weixin_33648352的博客
02-20 1970
原文出自:https://blog.csdn.net/seesun2012html前言浅谈SQL注入:所谓SQL注入,就是经过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,达到必定的非法用途。java解决办法一、配置WEB-INF/web.xmlwebindex.htmlSqlInjectFiltercom.seesun2012.web....
SQL注入过滤 (Java版)
11-17
SQL 安全注入漏洞过滤器类 Java实现 Java类实现,以及配置文件web.xml
简单的防止SQL注入的java方法
Mr.薛的博客
11-05 5678
public class SQLFilter { /** * SQL注入过滤 * @param str 待验证的字符串 */ public static String sqlInject(String str){ if(StringUtils.isBlank(str)){ return null; ...
Mybatis防止SQL注入
Jc0803kevin的专栏
07-13 1077
防止SQL注入的中心思想就是参数化查询,将输入当作参数传递,而不是直接拼接到 SQL 语句中。常见的防止SQL注入的方式1、#{}2、3、[配置 SQL 注入过滤器](#配置 SQL 注入过滤器)
SQL注入(入门其二——过滤)
qq_43520778的博客
09-06 1321
[toc]SQL注入
sql注入过滤器
04-16
sql注入过滤器
sql注入过滤器
weixin_34240657的博客
07-26 362
首先在web.xml中配置<!-- 防sql注入过滤器 --> <filter> <filter-name>antiSqlInjection</filter-name> <filter-class>com.usermanage.util.AntiSqlInjectionfilter</filter-clas...
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
sql注入Java过滤器
11-10
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
sql注入过滤
assureo的专栏
10-30 472
       ///         ///SQL注入过滤        ///         /// 要过滤的字符串        /// 如果参数存在不安全字符,则返回true        public static bool SqlFilter(string InText)        {            string word = "and|20%and20%|insert|s
SQL注入过滤
qq_33651286的博客
07-07 1844
SQL防注入过滤
sql--SQL注入过滤
VIP_CR的博客
08-08 746
/// <summary> ///SQL注入过滤 /// </summary> /// <param name="InText">要进行过滤的字符串</param> /// <returns>如果参数存在不安全字符,则返回true</returns> public static bool SqlFilter2(string InText) ...
过滤器处理sql注入
最新发布
liangbo
08-23 262
这个类继承自 HttpServletRequestWrapper,用于包装原始的 HttpServletRequest 对象,并覆盖 getInputStream 方法,以便在请求体被修改后仍能正确处理。检查 orderParams、searchParams 和 searchParams2 是否存在,并调用 filterKeyword 方法检查这些参数是否存在 SQL 注入风险。这个类实现了 Filter 接口,用于在请求到达控制器之前处理请求体中的参数,以防止 SQL 注入攻击。
SQL盲注、SQL注入 - SpringBoot配置SQL注入过滤器
C3Stones
09-17 2454
1. SQL盲注、SQL注入   风险:可能会查看、修改或删除数据库条目和表。原因: 未对用户输入正确执行危险字符清理。固定值: 查看危险字符注入的可能解决方案。 2. pom.xml添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spr...
sqlserver sql注入过滤帮助类
u011511086的专栏
01-17 663
//创建时间:2022-1-12 17:30:06 //作者:王浩力 //功用:SQL注入过滤,过滤传入字符串中的非法字符 using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks; namespace WebInfoFormReport.Model.Tool { /// <summary> /// SQL
php sql注入过滤器
09-20
PHP提供了一些内置的函数来防止SQL注入攻击,比如使用mysqli_real_escape_string...此外,还可以使用过滤函数filter_var和filter_input来过滤用户输入,确保输入的数据符合预期的格式和类型,从而减少SQL注入的风险。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值