防SQL注入过滤器的实现

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量768 收藏 2
点赞数
文章标签: java python web.xml
原文链接:https://my.oschina.net/freegarden/blog/646387
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png


1- 配置web.xml,增加过滤器配置

  <filter> 
    <filter-name>PreventSqlInject</filter-name> 
    <filter-class>SqlInjectFilter</filter-class> 
    <!--split with blank --> 
    <init-param> 
        <param-name>sensitive-words</param-name> 
        <param-value>select insert delete from update create destory drop alter and or like exec count chr mid master truncate char declare ; ' % &lt; &gt;</param-value> 
    </init-param> 
    <!--split with blank --> 
    <init-param> 
        <param-name>encrypting-parameter-names</param-name> 
        <param-value>username password</param-value> 
    </init-param>
    <!-- error page --> 
    <init-param>
        <param-name>error-page</param-name> 
        <param-value>/sqlInjectError.jsp</param-value> 
    </init-param> 
    <!-- debug -->     
    <init-param> 
        <param-name>debug</param-name> 
        <param-value>false</param-value> 
    </init-param> 
  </filter> 
  <filter-mapping> 
    <filter-name>PreventSqlInject</filter-name> 
    <url-pattern>/*</url-pattern> 
  </filter-mapping>

2- 实现过滤器 SqlInjectFilter

import java.io.IOException;
import java.text.MessageFormat;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;
import java.util.Set;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.commons.codec.binary.Base64;

public class SqlInjectFilter implements Filter {

	// SQL 注入敏感词列表
	private static List<String> sensWords = new ArrayList<String>();
	// Base64 加密参数key列表
	private static List<String> encrParams=new ArrayList<String>();
	// 错误页面
	private static String error = "/sqlInjectError.jsp";
	// 调试开关
	private static boolean debug = false;

	@Override
	public void destroy() {

	}

	@Override
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain fc)
			throws IOException, ServletException {
		if (debug) {
			System.out.println("prevent sql inject filter works");
		}
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		request.setCharacterEncoding("UTF-8");
		Set<String> keys = request.getParameterMap().keySet();
		for (String key : keys) {
			String value = request.getParameter(key);
			if(encrParams.contains(key)){
				value=new String(Base64.decodeBase64(value.getBytes()));
			}
			if (debug) {		
				System.out.println(MessageFormat.format("{0}={1}", key,value));
			}
			for (String word : sensWords) {
				if( value.toUpperCase().contains(word.toUpperCase()) ){
					request.getSession().setAttribute(
							"sqlInjectError",
							"the request parameter \"" + value
									+ "\" contains keyword: \"" + word + "\"");
					response.sendRedirect(request.getContextPath() + error);
					return;
				}
			}
		}
		fc.doFilter(req, res);
	}

	@Override
	public void init(FilterConfig conf) throws ServletException {
		String sSensiWord = conf.getInitParameter("sensitive-words");
		String sEncryParam = conf.getInitParameter("encrypting-parameter-names");
		String errorPage = conf.getInitParameter("error-page");
		String de = conf.getInitParameter("debug");
		if (errorPage != null) {
			error = errorPage;
		}
		if(sSensiWord!=null){
			sensWords=Arrays.asList(sSensiWord.split(" "));
		}
		if(sEncryParam!=null){
			encrParams=Arrays.asList(sEncryParam.split(" "));
		}
		if (de != null && Boolean.parseBoolean(de)) {
			debug = true;
			System.out.println("PreventSQLInject Filter staring...");
			System.out.println("print filter details");
			System.out.println("sensitive words as fllows (split with blank):");
			for (String s : sensWords) {
				System.out.print(s + " ");
			}
			System.out.println();
			System.out.println("encrypting parameter key as fllows (split with blank):");
			for (String s : encrParams) {
				System.out.print(s + " ");
			}
			System.out.println();
			System.out.println("error page as fllows");
			System.out.println(error);
			System.out.println();
		}
	}

}

3-新增 errorPage 页面  sqlInjectError.jsp

<%@ page language="java" import="java.util.*" contentType="text/html;charset=utf-8" %> 
<% 
String path = request.getContextPath(); 
%> 
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> 
<html> 
  <head> 
    <title>防sql注入系统</title> 
  </head> 
   
  <body>
  <h6>
  	&nbsp;&nbsp;
    <font color="red">这个是防sql注入系统,自动过滤您的请求,请更换请求字符串。 </font>
    <%=session.getAttribute("sqlInjectError")%>
  </h6>  
  </body> 
</html>


转载于:https://my.oschina.net/freegarden/blog/646387

weixin_33849215
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入过滤函数
“小学生”的专栏
01-07 499
今天在google输入"aspx 注入" ,检索到这文章不错,就摘录。我采集的来源http://blog.donews.com/qzzxl/archive/2008/01/04/1243222.aspx不知是否原创。SQL注入过滤函数****************************************************过程名:Check
sql注入过滤器配置
10-24
sql注入过滤器配置,
java过滤器sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
SpringBoot中如何止XSS攻击和sql注入
最新发布
2302_77596945的博客
05-23 512
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
SQL过滤,SQL注入
ugo
09-12 423
一般使用#{},但在使用Mybatis的语法写动态排序时,由于#{}会导致参数带上’',所以使用${},但是又怕sql注入的问题,将传入的参数,过滤后再拼接SQL,会更安全一些。
SQL注入过滤
qq_33651286的博客
07-07 1828
SQL注入过滤
C# MVC 过滤器SQL注入
09-15
C# MVC 过滤器SQL注入
java 过滤器filtersql注入实现代码
09-01
本文将详细介绍如何使用Java Filter实现SQL注入的功能。 首先,我们需要创建一个实现了`javax.servlet.Filter`接口的类,例如名为`XSSFilter`。这个类将负责拦截请求并处理可能存在的SQL注入风险。下面是一个...
JSP使用过滤器SQL注入的简单实现
01-08
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有...
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
sql注入问题后端字符过滤
weixin_39693899的博客
12-29 483
sql注入问题
sql注入Java过滤器
11-10
配置web.xml中,可以SQL注入,可以自己定义一些需要过滤的特殊字符
sql过滤和排序
01-16
描述了oracle sql的过滤和排序功能, 对于初学者是个不错的选择
XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
SQL注入的5种方法
06-13
SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
SQL注入(入门其二——过滤)
qq_43520778的博客
09-06 1244
[toc]SQL注入
SQL注入过滤器
ouxiejian的博客
03-11 919
给已经上线的项目写了一个sql注入过滤器,并打成jar包放在项目的lib目录下。 package com.security.web.security.filters; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRespons...
《SQL必知必会》:过滤数据 SELECT WHERE
超级大洋葱的博客
11-05 592
文章目录1.1 使用WHERE字句1.2 WHERE 子句操作符1.2.1 检查单个值1.2.2 不匹配检查1.2.3 范围值检查1.2.4 空值检查 1.1 使用WHERE字句 只检索所需数据需要指定搜索条件(search criteria),搜索条件也称为过滤条件(filter condition)。 -- 使用WHERE字句 SELECT prod_name, prod_price FROM Products WHERE prod_price = 9.99; 注意: WHERE 子句的
SQL中的过滤数据以及限制返回行数
saoang的博客
03-14 948
文章目录 一、SQL Server Select Top语句 二、SQL Server语句 三、Select Distinct子句 四、Where子句 五、LINK 六、列和表别名 一、SQL Server Select Top语句 SELECT TOP 子句用于限制查询结果集中返回的行数或行百分比。 由于存储在表中的行的顺序是不可预测的,因此 SELECT TOP 语句始终与 ORDER BY 子句一起使用。 结 果,结果集限于前 N 个有序行数。 以下是带有 SELECT ...
javasql注入过滤器_2019-08-23/sql注入过滤器
05-24
为了止 SQL 注入攻击,通常可以使用过滤器进行过滤。以下是一个简单的 Java 过滤器示例,可以用于止 SQL 注入攻击: 1. 创建一个名为 SqlFilter 的类,实现 javax.servlet.Filter 接口。 2. 在 doFilter 方法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值