java 过滤sql关键字_Java防止SQL注入2(通过filter过滤器功能进行拦截)

最新推荐文章于 2024-02-26 15:57:18 发布
最新推荐文章于 2024-02-26 15:57:18 发布
阅读量788 收藏 1
点赞数
文章标签: java 过滤sql关键字
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29040367/article/details/114231427
版权
本文介绍了一个Java实现的过滤器`AntiSqlInjectionFilter`,用于拦截并防止SQL注入攻击。该过滤器获取请求参数,检查其中是否包含SQL关键字,如果发现则抛出异常,否则继续请求处理。过滤器的关键在于`sqlValidate`方法,它将参数字符串转换为小写并比对预定义的SQL关键字列表。
摘要由CSDN通过智能技术生成

48304ba5e6f9fe08f3fa1abda7d326ab.png

package com.jsoft.jblog.filter;

import java.io.IOException;

import java.util.Enumeration;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

public class AntiSqlInjectionfilter implements Filter {

public void destroy() {

// TODO Auto-generated method stub

}

public void init(FilterConfig arg0) throws ServletException {

// TODO Auto-generated method stub

}

public void doFilter(ServletRequest args0, ServletResponse args1,

FilterChain chain) throws IOException, ServletException {

HttpServletRequest req=(HttpServletRequest)args0;

HttpServletResponse res=(HttpServletResponse)args1;

//获得所有请求参数名

Enumeration params = req.getParameterNames();

String sql = "";

while (params.hasMoreElements()) {

//得到参数名

String name = params.nextElement().toString();

//System.out.println("name===========================" + name + "--");

//得到参数对应值

String[] value = req.getParameterValues(name);

for (int i = 0; i < value.length; i++) {

sql = sql + value[i];

}

}

//System.out.println("============================SQL"+sql);

//有sql关键字,跳转到error.html

if (sqlValidate(sql)) {

throw new IOException("您发送请求中的参数中含有非法字符");

//String ip = req.getRemoteAddr();

} else {

chain.doFilter(args0,args1);

}

}

//效验

protected static boolean sqlValidate(String str) {

str = str.toLowerCase();//统一转为小写

String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" +

"char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" +

"table|from|grant|use|group_concat|column_name|" +

"information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +

"chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字,可以手动添加

String[] badStrs = badStr.split("\\|");

for (int i = 0; i < badStrs.length; i++) {

if (str.indexOf(badStrs[i]) >= 0) {

return true;

}

}

return false;

}

}

48304ba5e6f9fe08f3fa1abda7d326ab.png

理柴德波浪技术
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 过滤sql关键字_java过滤器防止页面SQL注入
weixin_29018815的博客
02-13 940
package com.tarena.dingdang.filter;import java.io.IOException;import java.util.Enumeration;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.s...
ab压力测试 mysql_超实用压力测试工具-ab工具
weixin_33188115的博客
01-26 325
在学习ab工具之前,我们需了解几个关于压力测试的概念吞吐率(Requests per second)概念:服务器并发处理能力的量化描述,单位是reqs/s,指的是某个并发用户数下单位时间内处理的请求数。某个并发用户数下单位时间内能处理的最大请求数,称之为最大吞吐率。计算公式:总请求数 / 处理完成这些请求数所花费的时间,即Request per second = Complete requests...
SQL注入过滤Java版)
11-17
SQL 安全注入漏洞过滤器Java实现 Java类实现,以及配置文件web.xml
压力测试工具abs/ab的使用
Us006124的博客
06-10 1092
工具下载:https://www.apachehaus.com/cgi-bin/download.plx 官方文档:http://httpd.apache.org/docs/2.4/programs/ab.html 下载工具进入Apache24/bin目录下载就可以看到ab.exe和abs.exe 在命令行中输入 ab -n 1000 -c 20 http://127.0.0.1:8080/ 在win10中,shift+右键选择在此处打开PowerShell 输入 .\abs -n 1000 -c 20
java 过滤sql关键字_java - 如何通过在java-sql应用程序中输入所有列数据来过滤搜索? - SO中文参考 - www.soinside.com...
weixin_39723010的博客
02-25 240
在过去的几天里,我一直在努力解决这个问题。我有一个SerachUser函数,在其中将所有数据(例如年龄,性别,城市和兴趣)输入每个字符串,并将其检查到select查询命令中。如果有数据,请打印出来。很遗憾,搜索无法完全正常进行。例如:我的表用户没有'F'性别。但是,如果我键入“ F”,我仍然会获得数据,而不是显示“ ResultSet in Java中为空”。下面是我完成的简短代码。try{con...
java 过滤器filtersql注入的实现代码
09-01
本文将详细介绍如何使用Java Filter实现防止SQL注入功能。 首先,我们需要创建一个实现了`javax.servlet.Filter`接口的类,例如名为`XSSFilter`。这个类将负责拦截请求并处理可能存在的SQL注入风险。下面是一个...
java sql过滤_JavaSQL注入过滤器拦截器)代码
weixin_33648352的博客
02-20 1970
原文出自:https://blog.csdn.net/seesun2012html前言浅谈SQL注入:所谓SQL注入,就是经过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,达到必定的非法用途。java解决办法一、配置WEB-INF/web.xmlwebindex.htmlSqlInjectFiltercom.seesun2012.web....
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
javasql注入攻击过滤器
08-09
为了解决这个问题,Java中的防SQL注入过滤器可以在数据进入数据库之前对用户输入进行检查和清理。这个过滤器通常是一个实现了Servlet Filter接口的类,会在HTTP请求到达目标Servlet之前对其进行拦截和处理。 以下是...
Java--Filter过滤器防止XSS SQL注入
JustinQin
11-17 2872
一、攻击说明 XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入 所谓SQL注入,就是通过把SQL命令插入到...
高效关键字过滤java源码
08-12
最近项目中要用到关键字过滤,就参考网上的算法自己写了个关键字过滤java代码,思路如下: 将关键词的第1个字作为hashMap的索引,第2个字放到另一个hashMap中,并让第1个字的索引指向这个hashMap 过滤关键字的时候执行的操作都是hashMap.get,所以效率非常高 具体下载java源码查看 在普通双核三星笔记本上,加载4000个关键字后 1.执行1万次判断是否包含关键字的操作耗时30ms 2.执行1万次替换关键字的操作耗时170ms 3.内存占用3K
压力测试工具ab/abs的用法
地球流浪猫的博客
01-08 6525
ab 是apache 推出的压力测试工具,可以用来测试http服务器的性能,得出QPS abs 则是apache 推出的压力测试工具,可以用来测试https服务器的性能,得出QPS 工具下载地址:https://www.apachehaus.com/cgi-bin/download.plx 工具官方文档地址:http://httpd.apache.org/docs/2.4/programs/ab....
过滤SQL关键字方法
yunduan的专栏
05-15 1557
public static string SqlFilter(string source)         {             //单引号替换成两个单引号             source = source.Replace("", "");             //半角封号替换为全角封号,防止多语句执行             source = source.Replace(
压力测试
Mr Qiang
05-30 670
常用的压力测试工具有两种:ab测试、jmeter 1.ab测试 介绍 ab测试使用的是apache中自带的ab工具,在windows系统中安装了apache后,在bin文件夹中会出现ab.exe和abs.exe。进行http请求测试的时候使用ab.exe没有问题,但是进行https请求测试时会提示SSL not compiled in; no https support,些时使用abs.exe做测...
ab(http)与abs(https)压测工具
keketrtr的专栏
03-16 2515
在学习ab工具之前,我们需了解几个关于压力测试的概念 吞吐率(Requests per second) 概念:服务器并发处理能力的量化描述,单位是reqs/s,指的是某个并发用户数下单位时间内处理的请求数。某个并发用户数下单位时间内能处理的最大请求数,称之为最大吞吐率。 计算公式:总请求数 / 处理完成这些请求数所花费的时间,即 Request per second = Complet...
AB压测工具的介绍及安装
最新发布
kk_lzvvkpj的博客
02-26 930
今天我要和大家聊聊AB压测工具,如果你对网站性能测试感兴趣或有需要,那么这篇文章一定会帮到你。我曾经也因为缺少良好的压力测试工具而苦恼,直到我发现了AB压测工具。它可以帮助我们测试网站在高并发情况下的性能表现,让我们更好地了解网站的性能瓶颈和优化方向。接下来,我将为大家介绍AB压测工具的安装和使用方法,希望能够帮助大家更好地进行网站性能测试,提升网站的质量和用户体验。Apache Bench 是 Apache 服务器自带的一个web压力测试工具,简称 ab。
sql注入过滤器
weixin_34240657的博客
07-26 362
首先在web.xml中配置<!-- 防sql注入过滤器 --> <filter> <filter-name>antiSqlInjection</filter-name> <filter-class>com.usermanage.util.AntiSqlInjectionfilter</filter-clas...
apache ab压力测试工具-批量压测脚本
测试帮日记
04-17 2054
概述 ab(Apache benchmark)是一款常用的压力测试工具。简单易用,ab的命令行一次只能支持一次测试。如果想要批量执行不同的测试方式,并自动对指标进行分析,那么单靠手工一条一条命令运行ab是不可能的。下面介绍下批量模式怎么实现。 一、脚本说明 该脚本支持ab大多常用参数,如果你需要更多参数,可以通过修改本脚本,加入你想要的即可。 该脚本支持: 1)、批量测试。注意,并不是...
压力测试工具
Osborn的博客
07-10 1089
Apache JMeter是一款纯java编写负载功能测试和性能测试开源工具软件。相比Loadrunner而言,JMeter小巧轻便且免费,逐渐成为了主流的性能测试工具,是每个测试人员都必须要掌握的工具之一。 ...
Java过滤器防御XSS与SQL注入实战
"本文介绍了如何使用Java过滤器来防范XSS跨站脚本攻击和SQL注入攻击,通过在web.xml配置文件中定义过滤器,并编写相应的Filter实现类来拦截和处理恶意输入,保护Web应用程序的安全性。" 在Web开发中,安全性是至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值