ajax防止sql注入,spring 防止SQL注入的拦截器

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量489 收藏 1
点赞数
文章标签: ajax防止sql注入

package org.jeecgframework.core.interceptors;

import java.util.Enumeration;

import java.util.List;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.apache.log4j.Logger;

import org.jeecgframework.core.common.model.json.AjaxJson;

import org.jeecgframework.core.util.IpUtil;

import org.jeecgframework.core.util.JSONHelper;

import org.jeecgframework.core.util.ResourceUtil;

import org.jeecgframework.web.cgform.common.CgAutoListConstant;

import org.jeecgframework.web.system.pojo.base.TSUser;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;

/**

* 防止SQL注入的拦截器

*

* @author scott

* @time 2018-05-21

*/

public class SqlInjectInterceptor implements HandlerInterceptor {

private static final Logger logger = Logger.getLogger(SqlInjectInterceptor.class);

/**

* 在线开发特殊URL(需要录入SQL片段),进行特殊处理

*/

private List onlineOptUrls;

@Override

public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object arg2, Exception arg3)

throws Exception {

// TODO Auto-generated method stub

}

@Override

public void postHandle(HttpServletRequest request, HttpServletResponse response, Object arg2, ModelAndView arg3)

throws Exception {

// TODO Auto-generated method stub

}

@Override

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object arg2) throws Exception {

//1.在线开发功能(有SQL值情况),针对数据库SQL操作,进行开发者权限控制,防止SQL注入

String requestPath = ResourceUtil.getJgAuthRequsetPath(request);

if (onlineOptUrls.contains(requestPath)) {

TSUser currentUser = ResourceUtil.getSessionUser();

if(CgAutoListConstant.SYS_DEV_FLAG_0.equals(currentUser.getDevFlag())){

logger.info(" ---操作失败,当前用户未授权开发权限-------- 请求IP ---------+"+IpUtil.getIpAddr(request));

AjaxJson json = new AjaxJson();

json.setSuccess(false);

json.setMsg("操作失败,当前用户未授权开发权限!!");

response.setHeader("Cache-Control", "no-store");

response.getWriter().print(JSONHelper.bean2json(json));

return false;

}

return true;

}

//2,常规业务操作(无SQL值情况), 针对数据库SQL操作,进行开发者权限控制,防止SQL注入

Enumeration names = request.getParameterNames();

while(names.hasMoreElements()){

String name = names.nextElement();

String[] values = request.getParameterValues(name);

for(String value: values){

//sql注入直接拦截

if(judgeSQLInject(value.toLowerCase())){

logger.info("-----------Sql注入拦截-----------name: "+name+" -------------value:"+ value);

response.setContentType("text/html;charset=UTF-8");

response.getWriter().print("参数含有非法***字符,已禁止继续访问!");

return false;

}

//跨站xss清理

clearXss(value);

}

}

return true;

}

/**

* 判断参数是否含有***串

* @param value

* @return

*/

public boolean judgeSQLInject(String value){

if(value == null || "".equals(value)){

return false;

}

String xssStr = "and |or |select |update |delete |drop |truncate |%20|=|--|!=";

String[] xssArr = xssStr.split("\\|");

for(int i=0;i

if(value.indexOf(xssArr[i])>-1){

return true;

}

}

return false;

}

/**

* 处理跨站xss字符转义

*

* @param value

* @return

*/

private String clearXss(String value) {

logger.debug("----before--------处理跨站xss字符转义----------"+ value);

if (value == null || "".equals(value)) {

return value;

}

value = value.replaceAll("", ">");

value = value.replaceAll("\\(", "(").replace("\\)", ")");

value = value.replaceAll("'", "'");

value = value.replaceAll("eval\\((.*)\\)", "");

value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']",

"\"\"");

value = value.replace("script", "");

//为了用户密码安全,禁止列表查询展示用户密码----------

value = value.replace(",password","").replace("password","");

logger.debug("----end--------处理跨站xss字符转义----------"+ value);

return value;

}

public List getOnlineOptUrls() {

return onlineOptUrls;

}

public void setOnlineOptUrls(List onlineOptUrls) {

this.onlineOptUrls = onlineOptUrls;

}

}

小野校长
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
009 springboot整合mybatis-plus 增删改查 ajax 登录退出accessToken
04-18
总结起来,这个项目展示了如何在Spring Boot应用中利用MyBatis-Plus进行数据库操作,通过Ajax实现前后端交互,以及如何使用拦截器和token机制来保障用户登录的安全性。这些技术的结合使用,为开发高效、安全的Web...
在vue中使用axios,作统一入口处理(延时处理,sql防注入等)
瞧,一条会动的河粉
07-02 3929
首先创建一个JS文件,这里我的是ajax.js文件引入axios,和导出import axios from 'axios' export default axios;中间需要interceptors拦截器进行处理以下是全部代码
SpringBoot中如何防止XSS攻击和sql注入
最新发布
2302_77596945的博客
05-23 483
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
携程网某ajax验证存在sql注入
swordheart的博客
04-17 4705
漏洞详情 披露状态: 2010-07-30: 细节已通知厂商并且等待厂商处理中 2010-07-30: 厂商已经确认,细节仅向厂商公开 2010-08-09: 细节向核心白帽子及相关领域专家公开 2010-08-19: 细节向普通白帽子公开 2010-08-29: 细节向实习白帽子公开 2010-08-29: 细节向公众公开 简要描述: 位置较敏感,发生在members表,可以发现表的一些字段,能够窃取任何人的包括email等信息,未深入测试 详细说明: 用户注册时,"验证用户是否存在"因过滤
C# 基础知识扩充5 传统三层和MVC架构讲解,Ajax使用, 防止Sql注入 ,实现页面跳转, MVC创建
qq_40514546的博客
07-24 272
一:用VS2019创建MVC项目的步骤 选中后下一步! 选中MVC然后创建,就完成了创建! 二:控制器和视图分别是哪个文件夹 三:页面跳转的地址格式是? …/控制台名/对应的方法名 四:控制器的方法返回一个视图? return View(); 五:控制器的方法返回一个Json对象 第一步:将控制器中要返回Json对象的方法的类型从ActionResult更改为JsonResult 第二步:...
.Net防sql注入的方法总结
weixin_30421809的博客
06-22 508
#防sql注入的常用方法: 1、服务端对前端传过来的参数值进行类型验证; 2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接; 3、服务端对前端传过来的数据进行sql关键词过滤与检测; #着重记录下服务端进行sql关键词检测: 1、sql关键词检测类: 1 public class SqlInjectHelper:System.Web.UI...
struts2+spring4+mybatis3,登录jquery ajax,struts拦截器springAOP的例子
08-14
本项目示例涵盖了这些框架的整合使用,以及jQuery AJAX登录、Struts拦截器Spring AOP(面向切面编程)的应用。 1. **Struts2**:Struts2是一个基于MVC(Model-View-Controller)设计模式的Web应用框架,它简化了...
eidmnlo.zip_通讯编程_SQL_
08-10
7. **拦截器**:在 Spring MVC 中,拦截器可以对请求进行预处理和后处理,如记录日志、权限验证等,是实现 AOP 思想的一种方式。 8. **收邮件功能**:可能是通过 JavaMail API 实现的,用于接收邮件,可能用于通知...
SSM+Ajax+maven+拦截器实现登录功能
08-04
在这个项目中,我们将重点讨论如何利用SSM框架结合Ajax和Maven,以及使用拦截器来实现登录功能。 首先,**Spring**作为核心容器,管理着应用中的bean和依赖注入,提供了AOP(面向切面编程)和事务管理等功能。在...
spring springmvc hibernate mySql图书管理系统完整项目+book.sql
09-29
本项目“spring springmvc hibernate mySql图书管理系统完整项目+book.sql”全面展示了SSH框架与MySQL数据库的集成运用,提供了完整的权限管理模块,并实现了诸如Ajax异步刷新、文件上传、访问拦截及数据校验等多种...
SpringBoot项目防止Sql注入拦截器
qq_29991719的博客
12-08 1526
防止Sql注入拦截器
springboot自带filter实现sql防注入过滤
leveretz的博客
12-29 2447
springboot自带filter实现sql防注入过滤
springboot中给mybatis加拦截器
qq_43985303的博客
04-26 3275
springboot中给mybatis加拦截器
SpringBoot】通过Filter实现整个项目接口的SQL注入拦截
真的好想再回到那时,可现在能做的只有补救。————个人博客:https://w7h1te.github.io/
09-13 1400
令人非常愉悦的参考
sql攻击 简单小记
qq_43077857的博客
11-11 330
sql攻击 简单小记
spring 防止SQL注入拦截器
程序员石磊
05-25 2729
package org.jeecgframework.core.interceptors; import java.util.Enumeration; import java.util.List; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.apache.log4j.Logger; import org.jeecgframework.core
使用axios拦截器,作统一入口处理(延时处理,sql防注入等)
weixin_33939380的博客
07-02 535
import axios from 'axios' // http request 拦截器 axios.interceptors.request.use( config => { /* 代码写这里 */ console.log('request') return config; }, err => { console.log('err') ...
如何预防SQL注入和XSS攻击
一个傻子程序媛的博客
06-10 5017
SQL注入简介 SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句...
泛微DWR sql注入
10-18
关于泛微DWR sql注入,我可以给你一些基本的信息。DWR(Direct Web Remoting)是一种基于AJAX技术的开源...为了防止泛微DWR sql注入攻击,建议对系统进行升级和安全加固,并且对用户输入的数据进行严格的过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值