谁说ParameterMap只能读不能写?

最新推荐文章于 2023-11-20 23:29:03 发布
最新推荐文章于 2023-11-20 23:29:03 发布
阅读量334 收藏 2
点赞数 1
文章标签: java python
原文链接:https://my.oschina.net/jiangmitiao/blog/2992162
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

开发过javaweb项目的同学,应该都接触过ServeltRequest吧?ServletRequest接口中有一个方法叫做getParameterMap(),他会返回一个Map<String, String[]>对象,里面含有Request的请求参数,例如GET请求时?后边的一堆参数。那如果我们能修改Map<String, String[]>对象,岂不是能篡改浏览器请求时的一些参数?

1 ParameterMap

1.1 ServletRequest接口

服务器能从ServletRequest中篡改浏览器请求的参数?想想都令人兴奋,我们又多了一个可以个性化的地方。然而实际上是不可以的,我们来看看ServeltRequestgetParameterMap()方法的注释吧。

    /**
     * Returns a java.util.Map of the parameters of this request. Request
     * parameters are extra information sent with the request. For HTTP
     * servlets, parameters are contained in the query string or posted form
     * data.
     *
     * @return an immutable java.util.Map containing parameter names as keys and
     *         parameter values as map values. The keys in the parameter map are
     *         of type String. The values in the parameter map are of type
     *         String array.
     */
    public Map<String, String[]> getParameterMap();

人家说了,返回的这个Map对象一定是不可变的。所以呢,就死了这条心吧。咱们还是看看tomcat中ServletRequest的实现类里面到底是怎么构造不可变的Map。

1.2 Tomcat中的Request实现类

注意,以下凡是没有特殊说明的tomcat,其版本都是7.0.52

tomcat中ServletRequest的实现类是org.apache.catalina.connector.Request。在这个实现类中,方法getParameterMap()是这样实现的。

    /**
     * Returns a <code>Map</code> of the parameters of this request.
     * Request parameters are extra information sent with the request.
     * For HTTP servlets, parameters are contained in the query string
     * or posted form data.
     *
     * @return A <code>Map</code> containing parameter names as keys
     *  and parameter values as map values.
     */
    @Override
    public Map<String, String[]> getParameterMap() {

        if (parameterMap.isLocked()) {
            return parameterMap;
        }

        Enumeration<String> enumeration = getParameterNames();
        while (enumeration.hasMoreElements()) {
            String name = enumeration.nextElement();
            String[] values = getParameterValues(name);
            parameterMap.put(name, values);
        }

        parameterMap.setLocked(true);

        return parameterMap;

    }

如果属性parameterMap是上锁的,就返回这个属性。否则填充这个属性,然后上锁,返回属性。我就纳闷了,这个parameterMap高端啊,怎么就有一个判断是否上锁的方法,还有,这个属性在对象生成的时候已经做了初始化,所以它才可以直接调用这个属性的方法。

带着这些疑问,咱们来看看这个属性的初始化,其实很容易就能找到。

    /**
     * Hash map used in the getParametersMap method.
     */
    protected ParameterMap<String, String[]> parameterMap = new ParameterMap<>();

它就是在对象创建的时候创建了ParameterMap类型的对象。

1.3 ParameterMap类

这个org.apache.catalina.util.ParameterMap类,看来我们得重点关注了。打开这个类,我们发现它其实就是一个代理类,里边包含一个private final Map<K,V> delegatedMap;属性,其次,还有一个private boolean locked = false;。看到这里大家可能就明白了,无非是在做增删改操作的时候,先判断有没有锁,再执行操作,如果有锁,就抛出异常。

2 奇特的ApplicationHttpRequest

2.1 ApplicationHttpRequest

其实,上一小结已经点明,ServletRequest声明返回的Map是不可修改的,tomcat里也做到了不可修改。我们以后使用的时候注意一下就行,别自作聪明修改ParameterMap里的属性。

但是笔者是个较真的人,利用IDE,笔者也看到了别的实现类,其中org.apache.catalina.core.ApplicationHttpRequest引起了笔者的注意。这个类翻译成中文就是应用级别的HTTP请求,那他有什么特殊点呢?它实际上也是一个代理类,里面包含类实际的Request对象,来看他的getParameterMap()方法。

    /**
     * Override the <code>getParameterMap()</code> method of the
     * wrapped request.
     */
    @Override
    public Map<String, String[]> getParameterMap() {

        parseParameters();
        return (parameters);

    }
    
    /**
     * Parses the parameters of this request.
     *
     * If parameters are present in both the query string and the request
     * content, they are merged.
     */
    void parseParameters() {

        if (parsedParams) {
            return;
        }

        parameters = new HashMap<String, String[]>();
        parameters = copyMap(getRequest().getParameterMap());
        mergeParameters();
        parsedParams = true;
    }
    
    /**
     * Perform a shallow copy of the specified Map, and return the result.
     *
     * @param orig Origin Map to be copied
     */
    Map<String, String[]> copyMap(Map<String, String[]> orig) {

        if (orig == null)
            return (new HashMap<String, String[]>());
        HashMap<String, String[]> dest = new HashMap<String, String[]>();
        
        for (Map.Entry<String, String[]> entry : orig.entrySet()) {
            dest.put(entry.getKey(), entry.getValue());
        }

        return (dest);

    }

这三个方法依次看下来,org.apache.catalina.util.ParameterMap毛的没见到,只有HashMap,啥情况?,tomcat怎么留了这么一个口子?他是干什么用的?什么时候我们的程序能得到这个Request?

2.2 ApplicationDispatcher

带着这个疑问,笔者又深入的搜寻类一番,发现org.apache.catalina.core.ApplicationDispatcher中在方法forward()和方法include()里对原始的Request包装上了ApplicationHttpRequest

这个ApplicationDispatcher实际上实现了javax.servlet.RequestDispatcher.RequestDispatcher,而RequestDispatcher的作用是转发或者包含别的资源,例如JSP,Servlet。

说了,那么多,那到底怎么用呢?实际上ServletRequest有一个方法能够获取RequestDispatcher,然后再调用RequestDispatcher的forward或者include方法。

3 一个简单的实验

3.1 说明

笔者做了一个简单的实验,先说一下实验内容,在Controller的方法中,获取ParameterMap,然后给浏览器中显示它的类型。怎么对比呢?`

  1. /forward0直接获取ParameterMap类型
  2. /forward1调用forward转发请求到/forward3
  3. /forward2调用include包含请求到/forward3
  4. /forward4(没有对应的RequestMapping)在Filter中调用forward转发请求到/forward3
  5. /forward5(没有对应的RequestMapping)在Filter中调用include包含请求到/forward3
  6. /forward6调用forward转发请求到/forward6,注意这个只会调用一次,否则会进入死循环

3.2 代码

来看看Controller和Filter

ForwardController.java


import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import javax.servlet.RequestDispatcher;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.IOException;

@Controller
public class ForwardController {

    @RequestMapping("/forward0")
    @ResponseBody
    public String forward0(ServletRequest request, ServletResponse response) {
        return request.getParameterMap().getClass().getCanonicalName();
    }

    @RequestMapping("/forward1")
    public void forward1(ServletRequest request, ServletResponse response) throws ServletException, IOException {
        RequestDispatcher rd = request.getRequestDispatcher("/forward3");
        rd.forward(request, response);
    }

    @RequestMapping("/forward2")
    public void forward2(ServletRequest request, ServletResponse response) throws ServletException, IOException {
        RequestDispatcher rd = request.getRequestDispatcher("/forward3");
        rd.include(request, response);
    }

    @RequestMapping("/forward3")
    @ResponseBody
    public String forward3(ServletRequest request, ServletResponse response) {
        return request.getParameterMap().getClass().getCanonicalName();
    }

    @RequestMapping("/forward6")
    @ResponseBody
    public String forward6(ServletRequest request, ServletResponse response) {
        return request.getParameterMap().getClass().getCanonicalName();
    }
}

ForwardFilter.java

package com.gavinzh.learn.web.filter;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

public class ForwardFilter implements Filter{
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest hsr = (HttpServletRequest) servletRequest;

        if (hsr.getAttribute("ForwardFilter") ==null){
            hsr.setAttribute("ForwardFilter",ForwardFilter.class);

            if (hsr.getRequestURI().equals("/forward4")){
                RequestDispatcher rd = servletRequest.getRequestDispatcher("/forward3");
                rd.forward(servletRequest,servletResponse);
                return;
            }
            if (hsr.getRequestURI().equals("/forward5")){
                RequestDispatcher rd = servletRequest.getRequestDispatcher("/forward3");
                rd.include(servletRequest,servletResponse);
                return;
            }

            if (hsr.getRequestURI().equals("/forward6")){
                RequestDispatcher rd = servletRequest.getRequestDispatcher("/forward6");
                rd.forward(servletRequest,servletResponse);
                return;
            }

            filterChain.doFilter(servletRequest,servletResponse);
        }
        filterChain.doFilter(servletRequest,servletResponse);

    }

    public void destroy() {

    }
}

3.3 最终结果

上述代码怎么组织运行,笔者就不细讲了,网上例子很多。结果我来展示一下:

  1. /forward0:org.apache.catalina.util.ParameterMap
  2. /forward1:java.util.HashMap
  3. /forward2:java.util.HashMap
  4. /forward4:java.util.HashMap
  5. /forward5:java.util.HashMap
  6. /forward6:java.util.HashMap

神奇不神奇?一个javaEE标准声明了是不可变对象,在这个实验里变成了可变对象。

4 奇袭ApplicationHttpRequest

话说到这里,大家对getParameterMap方法也有了个简单了解,如果想改变Map对象的K-V,你就搞一个转发请求。喝一杯咖啡,优雅地实现一些奇怪的逻辑。

不过笔者没有就此罢手,手贱登上了github,看了一下tomcat项目中的这个类。这个类代码的HashMap竟然被替代成了ParameterMap!!!

我就纳闷类,是谁改了这个bug?导致我不能利用这个bug做一些邪恶的事情。

当当当当,blame一下,找到了,ApplicationHttpRequest修改记录,是一个年轻小伙子16年左右修复了这个bug。Tomcat7.0.68版本,Tomcat8.0.14版本开始,这个bug被修复了。

是不是很气人,原先这个功能用的好好的,升了级竟然用不了了。

生气生气生气???,怎么办怎么办怎么办,我想同学们已经有办法了。那就是反射ParameterMap,射射射,把locked属性,设置为可访问,然后将locked设置成false。

5 总结

笔者在这里和大家分享了一个小功能,小bug,耽误了大家的一些时间。但上边这些内容完全是笔者在生产开发中遇到的一些问题,笔者以有趣的方式来展示这些问题,以期和大家深入地探讨技术。

总结一下吧,ParameterMap这个Map是不可变的,建议大家还是别打这个对象的主意。为什么?javaEE标准里说了它是不可变的,那么各大Servlet容器厂商自然会以不同地方式实现这个不可变Map,今天你可以修改locked,明天一升级,人家改叫isLocked,那你的代码还能正常运行吗?

那有没有别的方式我们可以让它可变?有的,你写一个filter,在里面对request做一个包装,在getParameterMap时候,返回一个HashMap就可以了。

有趣吧?从可以修改ParameterMap到不能修改,到可以修改,再到建议不要修改,再到可以修改。每一步都是精华呀。

以上同步自谁说ParameterMap只能读不能写?

转载于:https://my.oschina.net/jiangmitiao/blog/2992162

weixin_33875564
关注
对比Hibernate和MyBatis的优劣势
AI天才研究院
07-30 1310
Hibernate 是 Java 语言中的一个ORM(Object Relational Mapping)框架,它的主要作用是在Java编程中将关系型数据库映射到对象模型上。Hibernate 使用一种名为 Hibernate Session 的对象来代表数据库会话,并通过 DAO(Data Access Object)模式与业务逻辑层进行交互。Hibernate 支持多种映射方式,包括基于 XML 文件、基于 annotations 的配置、基于自定义类的映射方式等。
11.8 Cache定义的两种使用方式 -《SSM深入解析与项目实战》
谙忆-陈浩翔
03-16 1363
11.8 Cache定义的两种使用方式 -《SSM深入解析与项目实战》 项目中所有的源码都可以在此链接的仓库中找到:https://github.com/chenhaoxiang/uifuture-ssm 文章目录11.8  Cache定义的两种使用方式11.8.1  cache元素定义cacheElement源码11.8.2  cache-ref元素定义createCacheKey方法源码 11.8  Cache定义的两种使用方式 上面了要想使用二级缓存,需要在每
parameterType和parameterMap的不同
热门推荐
白面小生的博客
10-12 3万+
平常都是使用parameterType,今天代码遇到parameterMap,突然,不知道怎么用。 关于ResultMap和ResultType、ParameterMapParameterType,它们都是存在于mybatis的应用中。一般在编xml会用到。 1- 先下ResultMap和ResultType,它们都是用来表示查询结果集与java对象之间的一种关系,将查询结果集...
Mybatis之parameterMap和resultMap使用详解
空圆小生的博客
07-08 1万+
Mybatis概述 Mybatis是目前比较经典的一个持久层框架,也是大部分初学者所接触的第一个持久层框架,在单纯使用Mybatis而不使用SpringBoot等整合框架的时候,往往需要自己配置XML文件,在平时配置XML文件的时候就会经常使用到paramaterType、parameterMap、resultType、resultMap, 如下。 <select id="findById" resultMap="ResultMap" parameterType="int"> selec
Mybatis系列之 parameterMap 弃用了
最新发布
日常笔记 | 干货分享 | 毕设源码 | 毕设指导 | 答辩指导
11-20 306
使用mybatis 框架,编sql语句的时候,参数使用发现它爆红了,上网查了一下。 myabtis 弃用了这个映射。map 可以自定义一些参数,对于表格中的数据过多情况。挺好用的,这里不过多解释,使用可以继续映射。
Parameter Maps
king0515的专栏
12-13 767
Parameter Maps                首先来看一下ParameterMap的定义:parameterMap id="parameterMapIdentifier"   [class="fullyQualifiedClassName, assembly|typeAlias"]  [extends="[sqlMapNamespace.]parameterMapId"]>  p
SpringBoot项目报错:java.lang.NoSuchMethodError: javax.servlet.http.HttpServletRequest.getHttpServletMapp
qq_47455677的博客
05-17 4604
2、本地的pom文件中没有导入servlet-api这个依赖,这时候只能是jdk引起的jar包冲突了,可以试着把jdk/jre目录里的servlet-api删除掉。1、SringBoot项目使用的是内置Tomcat,如果本地的pom文件中引入了servlet-api依赖,删掉这个依赖。3、可以保证本地没有导入servlet-api包,而且是使用了SpringBoot内置的TomCat,可以试着重装JDK。2、jar包冲突,具体是servlet-api这个jar包。1、Tomcat版本问题。
ubuntu修改u盘权限_Ubuntu下提示U盘没有权限--只能不能
weixin_39728544的博客
12-19 1905
在Windows下,U盘能够正常地文件(能复制粘贴),但发现有个文件打不开。然后在Linux下,对U盘只能不能。提示:Read only system.参考:https://bugs.launchpad.net/ubuntu/+bug/2286081,# tail -f /var/log/syslog 查看文件系统的动态信息May 19 21:31:28 controller kern...
在一个过滤器中打印一次完整的请求响应,解决RequestBody和ResponseBody只能获取一次的问题
Special_shooting的博客
12-09 1002
1.需求描述 首先一下我的需求,在前后端分离的项目中,由于后台不需要渲染页面,只返回Json串,所以可以在一个过滤器中将一次完整的请求和响应都打印在一条log日志里面,并且使用json的格式,这样在之后查找日志时可以通过请求的Id很方便的在一条日志中看到完整的请求和响应 2.问题 这里主要涉及两个问题,就是如果想在过滤器中就获取完整的请求和响应,就必须获取RequestBoby和ResponseBody,但是由于这两个是流的形式,只能够获取一次,这就相当于如果在过滤器中取这两个流,那么原来应该给后续业务
从0开始手一个 SpringMVC 框架,向高手进阶
m0_68850571的博客
05-29 227
Spring框架对于Java后端程序员来再熟悉不过了,以前只知道它用的反射实现的,但了解之后才知道有很多巧妙的设计在里面。如果不看Spring的源码,你将会失去一次和大师学习的机会:它的代码规范,设计思想很值得学习。我们程序员大部分人都是野路子,不懂什么叫代码规范。了一个月的代码,最后还得其他老司机花3天时间重构,相信大部分老司机都很头疼看新手的代码。 废话不多,我们进入今天的正题,在Web应用程序设计中,MVC模式已经被广泛使用。SpringMVC以DispatcherServlet为核心,负责协
Mapper中的参数类型parameterMapparametertype、resultMap和resultType
yeshu2780的博客
02-28 1万+
入参类型 一、Type类型 parameterType和resultType是直接接受Java类,并与SQL的列完成自动映射关系 1、parameterType <insert id="insert" parameterType="String"> insert into optionTemp(id) values (#{id}) </in...
关于request.getParameterMap()不能被改变值
weixin_30691871的博客
08-15 745
request.getParameterMap()的返回类型为 org.apache.catalina.util.ParameterMap 类型 在 ParameterMap 中有个加锁的方法 当改变getParameterMap 的值时 控制台会报Cannot find message associated with key parameterMap.locked,错误 转载于:https:/...
一个通过反射改变request的请求参数的方法
大北房
04-26 6547
现在在做的项目需要用一个WebWork拦截器从request的请求参数中取一些数据并把它们从parameterMap中remove掉。一开始这样Map requestParams=request.getParameterMap();......requestParams.remove("key");运行时会报错误:Cannot find message associated with
09年03月27日--request 之 getParameterMap
qingfeng_825的专栏
03-27 185
在struts1的action中, status参数通过param的方式传到action中,即以下代码 document.form1.action = '${pageContext.request.contextPath}/crs/meetingAction.do?method=editSaveMeeting&amp;status='+status;  在action中操作完status参数后,需...
servlet的getParameterMap
mojinchuan的专栏
04-04 1087
一直以为getParameterMap只是获取url后面的queryString,但是今天看到公司接口代码里,一个服务着方法是POST的服务方法,结果方法里却上getParameterMap,就在想,这尼玛不是跟GET没区别吗。突然觉得这个代码是不是有点low逼。后来一想,已经跑了这么久,而且一直在用的接口服务应该不会这么low吧。于是去看了,getParameterMapJAVA DOC,...
Jasperreports+jaspersoft studio学习教程(二)- 使用Parameters属性传入Map数据源填充报表并解决中文不显示问题
u013456370的专栏
08-06 3772
转载:https://blog.csdn.net/shiyun123zw/article/details/79166448 2.1 设计报表模板 2.1.1 在Studio中新建一个报表模板(DemoReport2),删除不需要的Band,Column Header,ColumnFooter,Summary,Background,在outline界面中选中要删除Band右键-&gt; dele...
关于request.getParameterMap()返回的map对象——我的一次移植测试经历
沉醉的专栏
12-29 210
某次在伙伴处进行移植测试,他们了一个过滤类FirstFilter.java,目的是实现对request请求参数中的敏感字符进行过滤提示,然后让请求继续进行,FirstFilter.java部分代码如下: [code="java"]Map map = request.getParameterMap(); Set set = map.entrySet(); if (map != n...
mysql parametermap_MyBatis parameterMap
weixin_33433927的博客
02-10 902
本章节将介绍怎样使用 和 标签映射参数。在开始使用之前,我们先看看这两个标签的 DTD 定义。如下:idCDATA#REQUIREDtypeCDATA#REQUIRED>propertyCDATA#REQUIREDjavaTypeCDATA#IMPLIEDjdbcTypeCDATA#IMPLIEDmode(IN|OUT|INOUT)#IMPLIEDresu...
parameterMap
07-27
parameterMap是一个用于存储参数的数据结构。它通常是一个映射(map)或字典(dictionary)类型的对象,用于将参数名和对应的值进行关联。 在软件开发中,parameterMap常用于存储和传递请求参数或配置参数。例如,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值