web参数转义代码

最新推荐文章于 2023-06-09 21:13:27 发布
最新推荐文章于 2023-06-09 21:13:27 发布
阅读量156 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/chuibilong/blog/671853
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

1、sql注入问题。

    1、先对参数使用增则表达式匹配过滤报警

if (!StrUtil.isValidSql(param.toString())) {
				throw new Exception("检测到非法的参数!" + param);
    }
    
    public static String SQL_VALID_REG = "[\\s\\S]*(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)[\\s\\S]*"
		+"[`~!@#$%^&*()+=|{}':;',\\[\\].<>/?~!@#¥%……&*()——+|{}【】‘;:”“’。,、?]"; 
        /**
	 * @category 校验是否有sql注入 
	 * @param str
	 * @return
	 */
	public static boolean isValidSql(String str){
		String[] matchs = matchAll(str, SQL_VALID_REG,0);
		if(matchs.length>0){
			System.err.println("发现sql注入攻击:"+str+">>"+Arrays.asList(matchs).toString());
			return false;
		}
	    return true;  
	}
    /**
	 * 正则表达式匹配
	 * @param str
	 * @param reges
	 * @return
	 */
	public static String[] matchAll(String str,String reges,int group){
		Pattern p = Pattern.compile(reges);
		Matcher m = p.matcher(str);
		List<String> list = new ArrayList<String>();
		while(m.find()){
			list.add(m.group(group));
		}
		return list.toArray(new String[list.size()]);
	}

    2、sql用预编译的方式,即preparedstatement很多框架都用的它。

2、xss跨域攻击问题

    1、也可以用正则表达式过滤

private boolean tagByRegular(String obj)  
  
    {  
  
        Pattern pattern = Pattern  
                .compile(  
                        "(.*\\s*)((<\\s*script\\s*)|(<\\s*embed\\s*)|(<\\s*style\\s*)|(<\\s*img\\s*)|(<\\s*image\\s*)|(<\\s*frame\\s*)|(<\\s*object\\s*)|(<\\s*iframe\\s*)|(<\\s*a\\s*)|(<\\s*frameset\\s*)|(<\\s*meta\\s*)|(<\\s*xml\\s*)|(<\\s*applet\\s*)|(\\s*onmouse\\s*)|(<\\s*link\\s*)|(\\s*onload\\s*)|(\\s*onblur\\s*)|(\\s*onchange\\s*)|(\\s*onclick\\s*)|(\\s*ondblclick\\s*)|(\\s*onfocus\\s*)|(\\s*onkey\\s*)|(\\s*onselect\\s*)|(\\s*alert\\s*\\())(.*\\s*)",  
                        Pattern.CASE_INSENSITIVE);  
  
        return pattern.matcher(obj).matches();  
  
    }

    2、把特殊字符转义例如“<”转换为“&lt”等

    可以利用开源的apache-lang.jar

    StringEscapeUtils.escapeHtml()

转载于:https://my.oschina.net/chuibilong/blog/671853

weixin_34043301
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB基础之:JavaScript转义
f_carey的博客
02-26 1812
JavaScript转义1. encodeURI()1.1 注意2. decodeURI()3. encodeURIComponent()3.1 `encodeURIComponent()` 和 `encodeURI` 比较3.2 注意4. decodeURIComponent()5. URIError5.1 示例 1. encodeURI() encodeURI() 函数通过将特定字符替换为转义序列来对统一资源标识符 (URI) 进行编码 。 encodeURI 会替换所有的字符,但不包括以下字符,即使它
Python - 转义代码
Java_1710的博客
02-25 269
转义字符 描述 例子 输出 \other 其它的字符以普通格式输出 \(在行尾时) 续行符 \\ 反斜杠符号 print "\\" \ \` 单引号 print "\'" ' \" 双引号 print "\"" " \a 响铃 print "\a" ...
markdown、html转义特殊字符代码大全
weixin_30564785的博客
08-23 688
markdown、html转义特殊字符代码大全 注意: 使用数字代码或英文代码需要在代码后面加一个英文的分号「;」 第二列转义符号为使用数字代码或英文代码后得的的符号 原符号 转义符号 数字代码 英文代码 解释 制表符 &#09 /t Horizontal tab 换行 &#10 /n Line feed 回车 &#13 ...
转义字符】【干货满满】超详细讲解+代码图解!
m0_57987831的博客
06-10 8350
转义字符,顾名思义,首先,它是一个字符,其次它的意义转变了,但它还是yi'ge'zi'fu
HTML转义JAVA代码
attilax的专栏
06-05 1万+
public static String html(String content) {  if(content==null) return "";             String html = content;       //    html = html.replace( "'", "&apos;");      html = html.replaceAll( "&", "
深入浅出Web编码
~人生如梦~
02-05 563
一 问题:         编码问题是JAVA 初学者在 web 开发过程中经常会遇到的问题,网上也有大量相关的文章介绍,但其中很多文章并没有对 URL 中使用了中文等非 ASCII 的字符造成服务器后台程序解析出现乱码的问题作出准确的解释和说明。本文将详细介绍由于在 URL 中使用了中文等非 ASCII 的字符造成乱码的根源。 1 在URL中中文字符通常出现在以下两个地方: (1) Que
PHP中输出转义JavaScript代码的实现代码
10-28
函数调用的方式很简单:将需要转义的字符串作为参数传递给jsformat()函数,然后将函数返回的字符串嵌入到JavaScript代码中即可。比如: ```php echo "<script>var x = '" . jsformat($myPHPString) . "';</script>...
Web应用安全:使用Perl的对策进行HTML转义的方法(实验).docx
06-19
- 修改`xss.cgi`文件中的输出语句,使用`CGI::escapeHTML()`函数对参数进行转义: ```perl print CGI::escapeHTML($cgi->param('p')); ``` - 再次尝试注入XSS测试代码,会发现XSS代码已经被转义,不再构成威胁...
Web应用安全:使用Perl的对策进行HTML转义的方法.pptx
06-20
Perl可以很好地作为CGI程序的后端,处理Web表单数据和URL参数。 **Perl中的HTML转义** 为了防御XSS攻击,Perl提供了一个名为`escapeHTML()`的内置函数。这个函数的作用是将接收到的用户输入转换为HTML实体,防止...
CTF工具之seay源代码审计系统(web).rar
09-16
seay工具会检查代码中是否存在未经过充分过滤或转义的用户输入直接拼接到SQL查询的情况。 跨站脚本(XSS)攻击则允许攻击者在受害者的浏览器上执行恶意脚本,可能导致会话劫持、钓鱼欺诈等。seay会查找可能的XSS...
JS实现Html转义和反转义(html编码和解码)的方法总结
最新发布
全栈小菜鸟
06-09 4133
2)、用正则表达式实现html转义;1)、去掉字符串中的html标签。
网址URL中特殊字符转义编码
luojiayu42的博客
01-16 5447
字符 - URL编码值 空格 - %20 " - %22 - %23 % - %25 & - %26 ( - %28 ) - %29 - %2B , - %2C / - %2F : - %3A ; - %3B < -
html参数转义字符,Html转义字符 & 获得请求参数
weixin_36115475的博客
06-03 573
获得请求参数的js:Request = {QueryString : function(item){var svalue = location.search.match(new RegExp("[\?\&]" + item + "=([^\&]*)(\&?)","i"));return svalue ? svalue[1] : svalue;}}alert(Request....
nginx匹配规则说明以及匹配的优先级
热门推荐
勿忘初心
06-01 1万+
location 匹配规则语法规则location [=|~|~*|^~] /uri/ { … }模式含义location = /uri= 表示精确匹配,只有完全匹配上才能生效location ^~ /uri^~ 开头对URL路径进行前缀匹配,并且在正则之前。location ~ pattern开头表示区分大小写的正则匹配location ~* pattern开头表示不区分大小写的正则匹配loca...
javeWeb springMvc获取到的参数附带特殊符号,接收后被转义
叶菁烜的博客
12-14 1万+
WEB开发时,在前端通过get / post 方法传递参数的时候 如果实参附带特殊符号,后端接收到的值中特殊符号就会被转义 例如该请求:http://localhost:10001/demo/index.do?name=张三(1) 注:中文()不会出现此种情况 后台就收到的实际 name 值为: 张三&#40;1&#41; &#40;其实为htm...
PHP 安全:过滤、验证和转义
一夜长风的专栏
09-02 7719
PS:来自http://laravelacademy.org/post/4610.html 我们在开发应用时,一般有个约定:不要信任任何来自不受自己控制的数据源中的数据。例如以下这些外部源: $_GET $_POST $_REQUEST $_COOKIE $argv php://stdin php://input file_get_contents() 远程数据
微信中使用Emoji表情,PHP转义代码
xocom的专栏
07-03 6697
public function unicode2utf8_2($str){ //关于unicode编码转化的第二个函数,用于显示emoji表情 $str = '{"result_str":"'.$str.'"}'; //组合成json格式 $strarray = json_decode($str,true); //json转换为数组,利用 JSON 对 \uXXXX ...
过滤代码中的html标签
weixin_34159110的博客
07-20 94
publicString html2Text(String inputString) { String htmlStr = inputString; //含html标签的字符串 String textStr =""; java.util.rege...
api调用参数安全性检测代码
05-10
您可以通过对输入参数进行转义来防止这种攻击。 示例代码: ```python import html def create_post(title: str, content: str): title = html.escape(title) content = html.escape(content) # continue with...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值