spring mysql防注入攻击_springmvc防sql注入 最简单最直接的方式

最新推荐文章于 2022-05-25 22:19:35 发布
最新推荐文章于 2022-05-25 22:19:35 发布
阅读量645 收藏
点赞数
文章标签: spring mysql防注入攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29419979/article/details/113395476
版权

一直以来服务器没有被攻击过,前一段时间忽然发现数据库中多了很多垃圾数据,很明显是被sql注入的行为,看来是时候要认真起来了。

首先,什么是sql注入,度娘一下一大堆,官方语言我就不多说了,说说我自己的理解吧。

sql注入就是通过url或者post提交数据时候,字符串类型的参数会被别人利用传入sql语句,最终破坏数据库或者达到一些见不得人的目的。

有时候因为业务需要url中会带一些参数,比如  ?type=xxx 一些人就会把type写成sql语句

比如:?type=' or 1=1--   最终拼接成的sql语句就变成了:select * from table where disabled=0 and  type='' or 1=1 -- and id=1  如此一来  --  后面的条件就会被屏蔽,结果就成了 1=1 也就是查询这张表所有数据。

这还算是最温柔的,更有甚者,把输入的参数变成update  delete drop 不就麻烦大了。

下面说一下最简单、直接、有效的方式吧:

1.写检测类:

import java.io.OutputStream;

import java.io.UnsupportedEncodingException;

import java.util.HashMap;

import java.util.Iterator;

import java.util.Map;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import javax.servlet.http.HttpServletResponse;

import net.sf.json.JSONObject;

/**

* 包装 Request 对象,过滤参数值中的XML字符

*/

@SuppressWarnings("unchecked")

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

private static final String[] EMPTY_STRING_ARRAY = new String[] {};

private Map params;

private HttpServletRequest request;

private HttpServletResponse response;

public XssHttpServletRequestWrapper(HttpServletRequest request,

HttpServletResponse response) {

super(request);

this.request = request;

this.response = response;

params = new HashMap();

Map rm = request.getParameterMap();

Iterator iterator = rm.entrySet().iterator();

while (iterator.hasNext()) {

Map.Entry entry = (Map.Entry) iterator.next();

Object key = entry.getKey();

String[] value = (String[]) entry.getValue();

if (value != null && value.length > 0) {

String[] newValue = new String[value.length];

for (int i = 0, m = value.length; i < m; i++) {

newValue[i] = Utility.escapeXml(value[i]);

}

params.put(

Utility.escapeXml(key == null ? "" : key.toString()),

newValue);

} else

params.put(Utility.escapeXml(key.toString()),

EMPTY_STRING_ARRAY);

}

}

// 效验

protected static boolean sqlValidate(String str) {

str = str.toLowerCase();// 统一转为小写

str.replaceAll("--", "——");

str.replaceAll("'", "’");

String badStr = "'|or |exec|execute|insert|select|delete|update|master|truncate|javascript|count(*)|"

+ "declare|create|" + "grant|script|iframe" + "|--";// 过滤掉的sql关键字,可以手动添加

String[] badStrs = badStr.split("\\|");

for (int i = 0; i < badStrs.length; i++) {

if (str.indexOf(badStrs[i].toLowerCase()) >= 0) {

return true;

}

}

return false;

}

@Override

public String getParameter(String name) {

String[] value = (String[]) params.get(name);

if (value != null)

if (value.length > 0)

return value[0];

else

return "";

else

return null;

}

@Override

public Map getParameterMap() {

return params;

}

@Override

public String[] getParameterValues(String name) {

return (String[]) params.get(name);

}

public boolean isOk() {

// 对所有请求参数的name和value做字符编码并缓存

Map rm = request.getParameterMap();

Iterator iterator = rm.entrySet().iterator();

while (iterator.hasNext()) {

Map.Entry entry = (Map.Entry) iterator.next();

Object key = entry.getKey();

String[] value = (String[]) entry.getValue();

if (value != null && value.length > 0) {

String[] newValue = new String[value.length];

for (int i = 0, m = value.length; i < m; i++) {

newValue[i] = Utility.escapeXml(value[i]);

if (sqlValidate(value[i])) {

return false;

}

}

}

}

return true;

}

}

2.写一个过滤器,拦截请求,检查字符串类型的参数:

import java.util.HashMap;

import java.util.Iterator;

import java.util.Map;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import javax.servlet.http.HttpServletResponse;

/**

* 包装 Request 对象,过滤参数值中的XML字符

*/

@SuppressWarnings("unchecked")

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

private static final String[] EMPTY_STRING_ARRAY = new String[] {};

private Map params;

private HttpServletRequest request;

private HttpServletResponse response;

public XssHttpServletRequestWrapper(HttpServletRequest request,

HttpServletResponse response) {

super(request);

this.request = request;

this.response = response;

params = new HashMap();

Map rm = request.getParameterMap();

Iterator iterator = rm.entrySet().iterator();

while (iterator.hasNext()) {

Map.Entry entry = (Map.Entry) iterator.next();

Object key = entry.getKey();

String[] value = (String[]) entry.getValue();

if (value != null && value.length > 0) {

String[] newValue = new String[value.length];

for (int i = 0, m = value.length; i < m; i++) {

newValue[i] = Utility.escapeXml(value[i]);

}

params.put(Utility.escapeXml(key==null?"":key.toString()), newValue);

} else

params.put(Utility.escapeXml(key.toString()),

EMPTY_STRING_ARRAY);

}

}

// 效验

protected static boolean sqlValidate(String str) {

str = str.toLowerCase();// 统一转为小写

str.replaceAll("--","——");

str.replaceAll("'","’");

String badStr = "'|or |exec|execute|insert|select|delete|update|master|truncate|javascript|count(*)|"

+ "declare|create|" + "grant|script|iframe" + "|--";// 过滤掉的sql关键字,可以手动添加

String[] badStrs = badStr.split("\\|");

for (int i = 0; i < badStrs.length; i++) {

if (str.indexOf(badStrs[i].toLowerCase()) >= 0) {

return true;

}

}

return false;

}

@Override

public String getParameter(String name) {

String[] value = (String[]) params.get(name);

if (value != null)

if (value.length > 0)

return value[0];

else

return "";

else

return null;

}

@Override

public Map getParameterMap() {

return params;

}

@Override

public String[] getParameterValues(String name) {

return (String[]) params.get(name);

}

public boolean isOk() {

// 对所有请求参数的name和value做字符编码并缓存

Map rm = request.getParameterMap();

Iterator iterator = rm.entrySet().iterator();

while (iterator.hasNext()) {

Map.Entry entry = (Map.Entry) iterator.next();

Object key = entry.getKey();

String[] value = (String[]) entry.getValue();

if (value != null && value.length > 0) {

String[] newValue = new String[value.length];

for (int i = 0, m = value.length; i < m; i++) {

newValue[i] = Utility.escapeXml(value[i]);

if (sqlValidate(value[i])) {

return false;

}

}

}

}

return true;

}

}

3.最后,web.xml中加入配置

Set Character Encoding

/*

XssFilter

com.xtwl.gsl2.filter.XssFilter

XssFilter

/*

有了以上过滤器就可以放心不少了,对的,是放心不少了,当然还有别的需要注意的,比如数据库用户一定不能用root或者sa。。服务器端验证必不可少。。不能直接拼装sql语句。。。等等。

总之,防止sql注入,还是得从养成良好的编程习惯开始。

--------------------------------------------------------------------------------------------------------------------------------------

用得着的童鞋可以点个赞,收藏一下。

有不明白的地方可以联系我QQ或者群里,有问必答,互帮互助

QQ群:530456619

QQ:707012377

刘震撼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring MVC御CSRF、XSS和SQL注入攻击
CHIKA2333的博客
07-30 767
本文说一下SpringMVC如何御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
SSM框架(SpringSpringMvc,Mybatis)
weixin_48320674的博客
03-28 1477
SSM
SpringBoot 之 SpringMVC 实现SQL注入过滤 完整版(支持POST请求和GET请求)
zhouzhiwengang的专栏
09-19 4501
首先请参考:SpringBoot 之 SpringMVC拦截器从Request中获取参数并解决request的请求流只能读取一次的问题 参考完上面的代码,现在开始编辑SQL注入拦截器,核心功能代码如下: package com.digipower.erms.interceptor; import java.io.BufferedReader; import java.io.InputStr...
SpringMVC利用拦截器SQL注入
weixin_34029949的博客
01-11 785
http://www.imooc.com/article/6137
SSM.rar_SSM_MYSQL_springMVC mybatis_springMVC mysql_ssm_分页功能
09-20
一个ssm项目 整合MyBatis+spring+springmvc的小例子,使用Mysql数据库,手写分页,没有用插件,还有增删查功能,文件放了sql文件,可以导入数据库,看效果,适合新手学习的例子.
SPRING+SPRINGMVC+HIBERNATE+MYSQL
11-04
标题中的"SPRING+SPRINGMVC+HIBERNATE+MYSQL"是一个经典的Java Web开发技术栈,也被称为SSH框架组合。这个组合是基于Spring框架的扩展,包括Spring的核心容器、Spring MVC作为Web层的解决方案,Hibernate作为持久层...
SpringSpringMVC、MyBatis+MySQL、Redis实现java论坛管理系统
02-19
Spring是一个全面的Java企业级应用开发框架,它提供了一种依赖注入(Dependency Injection,DI)和面向切面编程(Aspect-Oriented Programming,AOP)的方式来简化应用的开发。在论坛系统中,Spring负责管理组件(如...
SM_java_springmvc_mybatis_
10-01
SpringMVC作为Spring框架的一部分,主要用于构建Web应用程序的模型-视图-控制器(MVC)架构,而MyBatis则是一个轻量级的持久层框架,它将SQL与Java代码分离,提供灵活的SQL查询操作。 首先,SpringMVC的集成主要...
Spring+SpringMVC+Mybatis+MySQL整合小案例
05-25
在本项目中,我们探索的是一个基于SpringSpringMVC和Mybatis的集成应用,同时数据库采用MySQL。这个小案例旨在展示如何将这些组件有效地整合在一起,以实现数据的查询和添加功能。以下是对每个技术及其整合过程的...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
7、springboot-sql注入
aunt_y的博客
05-25 4455
疫情大数据平台是一个公益的项目,但很可能被网络上大量的扫描器扫描,并有可能收到脚本的攻击,而进行御就是很重要的,可以有效的避免我们被攻击。 本篇主要讲述sql注入部分 sql注入是什么 ​ SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。 ​ 而SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。 ​ 如Web应用程序的开发人员对用户所输入的数据或cooki
spring mysql注入攻击_如何预SQL注入,XSS漏洞(spring,java)
weixin_31896061的博客
01-27 376
SQL注入简介SQL注入是由于程序员对用户输入的参数没有做好校验,让不法分子钻了SQL的空子,比如:我们一个登录界面,要求用户输入用户名和密码:用户名: ' or 1=1--密码:点击登录之后,如果后台只有一条简单的待条件的sql语句,没有做特殊处理的话:如:String sql="select * from users where username='"+userName+"' and pass...
Spring MVC 如何止XSS、SQL注入攻击
海浪博客|技术|游戏|生活|随心
05-08 2226
在Web项目中,通常需要处理XSS,SQL注入攻击,解决这个问题有两个思路:   在数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原 在显示的时候对非法字符进行转义 如果项目还处在起步阶段,建议使用第二种,直接使用jstl的标签即可解决非法字符的问题。当然,对于Javascript还需要自己处理一下,写一个方法,在解析从服务器端获取的数据时执行以下escapeHTML
spring解决sql注入问题:自定义拦截器
lj1548259095的博客
11-30 8121
近期刚做完的restful接口项目用安全软件扫描后,出现blind sql inject高危漏洞,查看,程序里已经使用了PreparedStatement预编译sql,却仍不好使,找不出原因,最后不得已,自定义了一个sql注入拦截器,对含有非法攻击字符的接口输入参数进行拦截,再次扫描后,漏洞消失。具体实现如下:       一、自定义拦截器类SqlInjectInterceptor,实现spri
Spring+SpringMvc+Mybatis整合
最新发布
03-19
SSM是Spring(依赖注入和AOP)、Spring MVC(web控制器)和Mybatis(ORM框架)的缩写,它们在Java web开发中被广泛用于简化开发过程,提高代码的可维护性和性能。 2. **Mybatis特性与优势**: - **轻量级**: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值