spring mysql防注入攻击_如何预防SQL注入,XSS漏洞(spring,java)

最新推荐文章于 2024-10-04 16:49:32 发布
最新推荐文章于 2024-10-04 16:49:32 发布
阅读量406 收藏
点赞数
文章标签: spring mysql防注入攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31896061/article/details/113395473
版权

SQL注入简介

SQL注入是由于程序员对用户输入的参数没有做好校验,让不法分子钻了SQL的空子,

比如:我们一个登录界面,要求用户输入用户名和密码:

用户名: ' or 1=1--

密码:

点击登录之后,如果后台只有一条简单的待条件的sql语句,没有做特殊处理的话:

如:

String sql="select * from users where username='"+userName+"' and password='"+password+"' "

这样拼接的结果是

String sql="select * from users where username='’or 1=1--' and password='' "

这条语句会将数据库中的数据全部读出来。

很显然由于username='’or 1=1中用户名等于'' 或1=1这个条件恒成立,然后后面加上了--,然后后面的语句不起作用。所以就把数据库中的数据全部读取出来了。

如果:执行

select * from users where username='' ;DROP Database (DB Name) --' and password=''

则会产生很严重的后果。

怎样预防SQL注入

预防SQL注入主要有三个方式 :

1.采用预编译语句集(PreparedStatement),其内置处理sql注入的能力。

String hql=”from User user where user.username=:username ” and

user.password=:password ;

Query query=session.createQuery(hql);

query.setParameter(“username”,name,Hibernate.STRING)

query.setParameter("password",password,Hibernate.STRING);

采用拦截器对用户输入的参数进行转义校验。以下以spring mvc 为例。

首先我们需要在web.xml 中配置拦截器:

XSS过滤

XssEscape

com.jay.controller.XssFilter

XssEscape

*.html

REQUEST

接着我们来看一下拦截器的代码

public class XssFilter implements Filter{

@Override

public void init(FilterConfig filterConfig) throws ServletException {

}

@Override

public void doFilter(ServletRequest request, ServletResponse response,

FilterChain chain) throws IOException, ServletException {

chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);

}

@Override

public void destroy() {

}

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

public XssHttpServletRequestWrapper(HttpServletRequest request) {

super(request);

}

@Override

public String getHeader(String name) {

return StringEscapeUtils.escapeHtml4(super.getHeader(name));

}

@Override

public String getQueryString() {

return StringEscapeUtils.escapeHtml4(super.getQueryString());

}

@Override

public String getParameter(String name) {

return StringEscapeUtils.escapeHtml4(super.getParameter(name));

}

@Override

public String[] getParameterValues(String name) {

String[] values = super.getParameterValues(name);

if(values != null) {

int length = values.length;

String[] escapseValues = new String[length];

for(int i = 0; i < length; i++){

escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);

}

return escapseValues;

}

return super.getParameterValues(name);

}

水千户
关注
JEPaaS 低代码平台 j_spring_security_check SQL注入漏洞复现
0xSec
06-13 700
JEPaaS 低代码平台 j_spring_security_check 接口处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
Spring Boot 如何XSS + SQL 注入攻击 ?终于懂了!
m0_71777195的博客
03-21 1293
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
java过滤器sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
springmvcsql注入 最简单最直接的方式
weixin_34419321的博客
11-11 1877
为什么80%的码农都做不了架构师?>>> ...
MySQL 中的 SQL 注入范措施
最新发布
我爱娃哈哈的专栏
10-04 826
SQL 注入是一种常见的 Web 安全漏洞,它发生在应用程序与数据库交互的过程中。当应用程序没有对用户输入的数据进行充分的验证和过滤,攻击者就可以通过构造恶意的输入数据,将 SQL 语句插入到应用程序提交给数据库的查询中,从而改变查询的逻辑,获取敏感信息、篡改数据或者执行其他恶意操作。如果用户输入的用户名是admin,密码是123456,那么这个查询会正常执行,验证用户的登录信息。但是,如果攻击者输入用户名是admin' --在这个例子中,--
SpringCloud gateway 防止XSS漏洞_springcloud项目添加xss
04-06 1336
很多时候,内部管理网站往往疏于关注安全问题,只是简单的限制访问来源。这种网站往往对XSS 攻击毫无抵抗力,需要多加注意。安全问题需要长期的关注,从来不是一锤子买卖。XSS 攻击相对其他攻击手段更加隐蔽和多变,和业务流程、代码实现都有关系,不存在什么一劳永逸的解决方案。此外,面对XSS,往往要牺牲产品的便利性才能保证完全的安全,如何在安全和便利之间平衡也是一件需要考虑的事情。
spring mysql注入攻击_springmvcsql注入 最简单最直接的方式
weixin_29419979的博客
01-27 671
一直以来服务器没有被攻击过,前一段时间忽然发现数据库中多了很多垃圾数据,很明显是被sql注入的行为,看来是时候要认真起来了。首先,什么是sql注入,度娘一下一大堆,官方语言我就不多说了,说说我自己的理解吧。sql注入就是通过url或者post提交数据时候,字符串类型的参数会被别人利用传入sql语句,最终破坏数据库或者达到一些见不得人的目的。有时候因为业务需要url中会带一些参数,比如 ?type...
java 过滤器filtersql注入
热门推荐
谢彬のCSDN专栏
04-04 1万+
XSSFilter.java public void doFilter(ServletRequest servletrequest, ServletResponse servletresponse, FilterChain filterchain) throws IOException, ServletException { //flag = true 只做URL验证;
Spring-MVC处理XSSSQL注入攻击的方法总结
11-14
Spring-MVC处理XSSSQL注入攻击的方法总结
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞
bookManager_java图书馆最新_java图书馆mysql_java_
09-29
【标题】"bookManager_java图书馆最新_java图书馆mysql_java_" 暗示了这是一个基于Java语言开发的图书馆管理系统,主要用于管理图书资源,同时结合了MySQL数据库进行数据存储。这个系统可能是最近更新或优化过的版本...
java sql注入代码
05-11
很强大的SQL注入,针对JAVA系统 方便使用,作为过滤器使用。
MySQL_B2C.rar_b2c_b2c 前端_电商_电商 java_电商系统
09-22
此外,系统还需要有良好的安全性,防止SQL注入XSS攻击等网络安全问题。 6. **PDF文档**:“MySQL_B2C.pdf”可能详细阐述了系统的架构设计、数据库模型、前端页面结构、接口设计、技术选型以及实施过程中的最佳...
springboot+thymeleaf实现如何XSSSQL注入、SCRF、盗链攻击
qq_37894645的博客
12-30 1369
Web安全常见攻击手段 XSSSQL注入盗链、CSRF、上传漏洞 一、 XSS攻击 什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 表单提交数据 下面由 thymeleaf + spring Boot 2.2.4 代码实现: 1、省略创建maven工程步骤 2.、修改pom.xml <parent> <groupId>org.spr
如何预防SQL注入XSS漏洞(spring,java)
dianxu8537的博客
11-28 182
SQL注入简介 SQL注入是由于程序员对用户输入的参数没有做好校验,让不法分子钻了SQL的空子, 比如:我们一个登录界面,要求用户输入用户名和密码: 用户名: ' or 1=1-- 密码: 点击登录之后,如果后台只有一条简单的待条件的sql语句,没有做特殊处理的话: 如: String sql="select * from users where username='"+userName...
Spring MVC里面的预防 SQL 注入
Nio96的专栏
03-18 6741
xss 关于xss的介绍可以看这个和这个网页,具体我就讲讲Spring MVC里面的预防: web.xml加上: context-param>    param-name>defaultHtmlEscapeparam-name>    param-value>trueparam-value> context-param> Forms加上:
javasql注入 策略_java防止sql注入
weixin_32103009的博客
02-17 793
public final static String filterSQLInjection(String s) {if (s == null || "".equals(s)) {return "";}try {s = s.trim().replaceAll("?[s,S][c,C][r,R][i,I][p,P][t,T]>?", "");//scripts = s.trim().replac...
java 防止xsssql注入
gentle!!
02-07 1077
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值