java ssh 防止sql注入

最新推荐文章于 2022-02-09 08:15:00 发布
最新推荐文章于 2022-02-09 08:15:00 发布
阅读量920 收藏
点赞数
文章标签: 运维 java
原文链接:http://www.cnblogs.com/vixviy/p/9061658.html
版权

sql注入

@(JAVA)[防sql注入]

 <filter>
    <filter-name>httpHeaderSecurity</filter-name>
    <!-- filter2 <filter-class>com.wisdombud.cqupt.edu.web.filter.HttpHeaderSecurityFilter</filter-class> -->
    <filter-class>com.wisdombud.cqupt.edu.web.vpn.filter.HttpHeaderSecurityFilter</filter-class>
    <async-supported>true</async-supported>
</filter>
 <filter-mapping>
     <filter-name>httpHeaderSecurity</filter-name>
     <url-pattern>*</url-pattern>
 </filter-mapping>
/*
 * Licensed to the Apache Software Foundation (ASF) under one or more
 * contributor license agreements.  See the NOTICE file distributed with
 * this work for additional information regarding copyright ownership.
 * The ASF licenses this file to You under the Apache License, Version 2.0
 * (the "License"); you may not use this file except in compliance with
 * the License.  You may obtain a copy of the License at
 *
 *      http://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */
package com.wisdombud.cqupt.edu.web.vpn.filter;

import java.io.IOException;
import java.util.Iterator;
import java.util.Map;
import java.util.Map.Entry;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import javax.servlet.FilterChain;
import javax.servlet.RequestDispatcher;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang3.StringUtils;
import org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter;
import org.slf4j.LoggerFactory;

import com.wisdombud.cqupt.edu.web.filter.MutableHttpServletRequest;
import com.wisdombud.cqupt.edu.web.filter.XssHttpServletRequestWrapperNew;

/**
 * Provides a single configuration point for security measures that required the
 * addition of one or more HTTP headers to the response.
 */
public class HttpHeaderSecurityFilter extends StrutsPrepareAndExecuteFilter {
    private static final org.slf4j.Logger LOGGER = LoggerFactory.getLogger(HttpHeaderSecurityFilter.class);
     @Override
        public void doFilter(final ServletRequest req, final ServletResponse res, final FilterChain chain)
            throws IOException, ServletException {

            final HttpServletRequest request = (HttpServletRequest) req;
            final HttpServletResponse response = (HttpServletResponse) res;
            final MutableHttpServletRequest mutableHttpServletRequest = new MutableHttpServletRequest(request);
            mutableHttpServletRequest.putHeader("X-Frame-Options", "SAMEORIGIN");
            response.setHeader("X-Frame-Options", "SAMEORIGIN");
            response.setHeader("X-Content-Type-Options", "nosniff");
            final boolean isTrue = sqlInjection(request);
            if (isTrue) {
                final RequestDispatcher dispatcher = request.getRequestDispatcher("/400.jsp");
                dispatcher.forward(request, response);
                return;
            }
            super.doFilter(new XssHttpServletRequestWrapperNew(request), response, chain);
        }

        /**
         * 功能: 代码注入检测.<br/>
         * date: 2016年4月15日 下午1:56:29 <br/>
         *
         * @param httpRequest
         */
        private Boolean sqlInjection(final HttpServletRequest httpRequest) {
            boolean isIngect = false;
            // 获取上下文的请求参数
            final Map valueTreeMap = httpRequest.getParameterMap();
            // 获得请求参数集合的迭代器
            final Iterator iterator = valueTreeMap.entrySet().iterator();
            // 遍历组装请求参数
            while (iterator.hasNext()) {
                // 获得迭代的键值对
                final Entry entry = (Entry) iterator.next();
                // 获得键值对中的键值
                final String key = (String) entry.getKey();
                if("title".equals(key)){
                    System.err.println(key);
                }
                // 原请求参数,因为有可能一键对多值所以这里用的String[]
                String[] oldValues = null;
                // 对参数值转换成String类型的
                if (entry.getValue() instanceof String) {
                    oldValues = new String[] {entry.getValue().toString()};
                } else {
                    oldValues = (String[]) entry.getValue();
                }
                for (int i = 0; i < oldValues.length; i++) {
                    if (StringUtils.isNotBlank(oldValues[i])) {
                        if (HasInjectionData(oldValues[i])) {
                            isIngect = true;
                            break;
                        }
                    }

                }
                if (isIngect) {
                    return isIngect;
                }
            }
            return isIngect;
        }

        /// <summary>
        /// 验证是否存在注入代码(条件语句)
        /// </summary>
        /// <param name="inputData"></param>
        public boolean HasInjectionData(final String inputData) {
            // 里面定义恶意字符集合
            // 验证inputData是否包含恶意集合
            if(StringUtils.isBlank(inputData)){
                return false;
            }
            
            final Pattern pattern = Pattern.compile(GetRegexString());
            final Matcher matcher = pattern.matcher(inputData.trim().toLowerCase());
            final boolean b = matcher.matches();
            if (b) {
                LOGGER.info(String.format("检测出SQL注入的恶意数据, {0}", inputData));
                return true;
            } else {
                return false;
            }
        }

        /// <summary>
        /// 获取正则表达式
        /// </summary>
        /// <returns></returns>
        private String GetRegexString() {
            // 构造SQL的注入关键字符
            final String[] strBadChar =
                {"select\\s", "from\\s", "or\\s", "insert\\s", "delete\\s", "update\\s", "drop\\s", "truncate\\s",
                 "exec\\s", "count\\(", "declare\\s", "asc\\(", "mid\\(", "char\\(", "net user", "xp_cmdshell", "/add\\s",
                 "exec master.dbo.xp_cmdshell", "net localgroup administrators","and\\s","=\\s" ,"where\\s","<",">"};

            // 构造正则表达式
            String str_Regex = ".*(";
            for (int i = 0; i < strBadChar.length - 1; i++) {
                str_Regex += strBadChar[i] + "|";
            }
            str_Regex += strBadChar[strBadChar.length - 1] + ").*";

            return str_Regex;
        }
}
package com.wisdombud.cqupt.edu.web.filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.Collections;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;
import java.util.Set;

public final class MutableHttpServletRequest extends HttpServletRequestWrapper {
    // holds custom header and value mapping
    private final Map<String, String> customHeaders;

    public MutableHttpServletRequest(HttpServletRequest request) {
        super(request);
        this.customHeaders = new HashMap<String, String>();
    }

    public void putHeader(String name, String value) {
        this.customHeaders.put(name, value);
    }

    public String getHeader(String name) {
        // check the custom headers first
        String headerValue = customHeaders.get(name);

        if (headerValue != null) {
            return headerValue;
        }
        // else return from into the original wrapped object
        return ((HttpServletRequest) getRequest()).getHeader(name);
    }

    public Enumeration<String> getHeaderNames() {
        // create a set of the custom header names
        Set<String> set = new HashSet<String>(customHeaders.keySet());

        // now add the headers from the wrapped request object
        @SuppressWarnings("unchecked")
        Enumeration<String> e = ((HttpServletRequest) getRequest()).getHeaderNames();
        while (e.hasMoreElements()) {
            // add the names of the request headers into the list
            String n = e.nextElement();
            set.add(n);
        }

        // create an enumeration from the set and return
        return Collections.enumeration(set);
    }
}

转载于:https://www.cnblogs.com/vixviy/p/9061658.html

weixin_30564785
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSH2及模型驱动,拦截器注入
03-08
很适合初学者学习! 自定义默认栈 Struts2的跳转Result的类型 在Interceptor中注入Spring管理的对象
SSH2-interceptor拦截器(权限管理)
05-19
ssh2-interceptor拦截器(权限管理).
防止sql注入拦截
evilcry2012的专栏
01-15 1776
防止sql注入拦截 这两天在做一个sql注入拦截,期间遇到了不少问题,最大的问题是在,拦截sql注入后利用response 重定向到错误页面,始终无法实现跳转。发现原因是,ajax 异步请求时并不会对response重定向做处理。当然包括response.getWrite().print("");等页面都不会做出反应。 下面是我的代码,首先是编写一个拦截器 packa
今天拦截到一个SQL注入 有兴趣的帮忙分析一下!
10-08 1551
/pages/showapro.aspx?id=106');declare @b cursor;declare @s varchar(800 Match1:char(47)+char(47)+''www.crossbordercapital.com''+char(47)+''blog''+char(47)+''template''+char(47)+''page''+char(47)+''type
第十三章—手动漏洞挖掘(六)——SQL注入(二)
weixin_43876557的博客
03-04 329
一、读取文件
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
SSH.zip_javaSSH sqlserver_ssh_ssh sqlserver_ssh sqlserver
09-22
SSH(Secure Shell)是一种网络协议,用于在不安全的网络上提供安全的远程登录和其他服务。...通过这个项目,开发者可以深入学习如何将SSH框架与SQL Server数据库集成,实现一个完整的Java Web应用。
java ssh框架类.zip
最新发布
06-14
Hibernate是一个优秀的ORM框架,它允许开发者用Java对象模型来操作数据库,避免了直接编写SQL语句的繁琐。Hibernate通过XML配置文件或注解来定义对象与表之间的映射关系,提供了Session接口来处理数据库操作,如增删...
SSH.rar_java ssh_ssh
09-23
标题中的"SSH.rar_java ssh_ssh"表明这是一个关于Java开发中SSH框架的压缩包,SSH在这里指的是Struts、Spring和Hibernate这三个流行的Java企业级应用框架的组合。这些框架常用于构建可扩展、模块化的Web应用程序。 ...
JAVA SSH项目参考
12-07
**JAVA SSH项目参考** 在Java开发领域,SSH(Spring、Struts、Hibernate)是一个非常流行的MVC(模型-视图-控制器)架构的框架组合,它由Spring负责控制层,Struts处理视图,而Hibernate则专注于数据持久化。这个...
SSH框架之Spring注入
pengxiang1998的博客
04-14 262
Spring注入方式: 1.普通注入: 采用注入的方式可以在程序中不需要new对象而获取已经注册的对象 <!-- 将对象注册到spring的容器原理 --> <bean id="girl1" class="spring.bean.Girl"> <property name="name"><value>岳好</value>...
Java命令注入之防护
沧海一粟
07-16 1万+
1 Java中的命令注入 在Java中的Runtime.getRuntime本质就是使用ProcessBuilder,以ProcessBuilder里用ProcessImpl,start 的一个子进程执行命令, Java的native调用 a. Windows是CreateProcessW 创建子进程执行命令 b. Unix中以enecve 来创建子进程执行命令
OpenSSH命令注入漏洞(CVE-2020-15778)
热门推荐
qq_42947816的博客
02-09 2万+
一般在特定环境下利用,比如在知道SSH账户密码后,但禁用SSH登陆或SSH连接被阻止,服务器允许使用scp传文件的情况下,可对其进行命令注入,所以如果攻击者不知道ssh账密,此漏洞无法利用。
Struts2学习4——防sql注入过滤器
编程圈子-谢厂节的博客
06-05 4250
web.xml <!-- sql Filter --> <filter> <filter-name>SqlFilter</filter-name> <filter-class>Utils.SqlFilter</filter-class> </filter> <filter-mapping> <filter-name>Sq
JSP使用过滤器防止SQL注入
weixin_30776545的博客
05-29 126
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行S...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6527
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
javasql注入方法小结
chenjhit的博客
10-16 4018
本文对java操作数据库的一项重点内容——防sql注入进行说明。对现有方法进行了简单优劣讨论与总结,供大家参考讨论。 重点:不要将用户输入内容,在未经检查的情况下,直接拼接为sql语句进行数据库访问操作。 防sql注入方法如下: 过滤输入 对输入内容进行充分过滤,可以利用正则表达式进行匹配。 例如:“(?:’)|(?:–)|(/\*(?:.|[\n\r])?\/)|(and|exec|...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值