java 防止sql xxs注入_【Java】防止SQL注入问题 解决XSS攻击 (个人梳理)

最新推荐文章于 2024-04-06 10:01:20 发布
最新推荐文章于 2024-04-06 10:01:20 发布
阅读量576 收藏 1
点赞数
文章标签: java 防止sql xxs注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35799294/article/details/115066176
版权

【Java】防止SQL注入问题 解决XSS攻击 (个人梳理)

【Java】防止SQL注入问题 解决XSS攻击 (个人梳理)

文章目录

前言

sql注入是什么,就是用户通过在表单中填写包含 SQL 关键字的数据来使数据库执行非常 规代码的过程。简单来说,就是客户端插入的数据做了代码才能干的 事情。这个问题的来源是,SQL 数据库的操作是通过 SQL 语句来执行的,而无论是执行代 码还是数据项都必须写在 SQL 语句之中,这就导致如果我们在数据项中加入了某些 SQL 语 句关键字(比如说 SELECT、DROP 等等),这些关键字就很可能在数据库写入或读取数据 时得到执行。

一、sql注入案例之一(拼接sql)

@Override

public List listIndexPageByCode(int pageNo, int pageSize, String code) {

String sql = "SELECT * FROM `自己的表名` where `code` = '"+code+"' LIMIT ? , ?";

logger.info("sql : " + sql);

logger.info("params : " + (pageNo - 1) * pageSize +" , " + pageSize);

return jdbcTemplate.query(sql, new Object[]{(pageNo - 1) * pageSize,pageSize}, new IndexMapper());

}

上图代码的问题就是 在与数据库操作时 给code拼接了具体的值 code=code,这样在查询语句的时候,如果插入 ‘or 1=1–,就会造成什么后果呢,就会造成 当你想查询一个数据的时候,由于 or前面的单引号造成一个闭合,or后面1=1条件恒成立,就造成了原本sql语句的where后判断永远为true,所以数据库会给你返回所有的数据。假设这不是一个搜索语句而是删除语句呢,通过这种简单的sql注入就能达到删除数据库所有数据的效果。无疑这样是很危险的。所以如何避免呢?

二、避免被sql注入

1.不要用拼接sql的形式

用下面这种形式,将 +code+ 用 ? 号代替

@Override

public List listIndexPageByCode(int pageNo, int pageSize, String code) {

String sql = "SELECT * FROM `t_myj_training_index` where `code` = ? LIMIT ? , ?";

logger.info("sql : " + sql);

logger.info("params : " + (pageNo - 1) * pageSize +" , " + pageSize);

return jdbcTemplate.query(sql, new Object[]{(sku,pageNo - 1) * pageSize,pageSize}, new IndexMapper());

}

为什么用 ?问号代替就不会发生sql注入了,因为? 相当于一个占位符,也就是说进行sql注入的时候,注入了这个 ? 号所占的位置里,并不能在原有的sql语句上加入恶意的sql语句,这样自然就防止了sql注入

XSS攻击

什么是xss攻击?

答:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容

通俗点说 就是通过web注入垃圾弹窗代码到你的网页端或数据库端,让你每刷新一次页面就弹一次垃圾弹窗

那如何解决?

## 防止xss攻击 **XSS防御的总体思路是:对输入(和URL参数)进行过滤,对输出进行编码。** 我这里举一个最简单的例子 给前端代码加上 c:out标签

例如这种格式 因为c:out标签里有封装好的预编译功能,可以帮你过滤掉一部分xss攻击代码。

所以即使他注入进了你的web,也不会达成攻击者想达成的效果

总结

随着网络攻击的兴起,程序员不再是麻木的打字员,cv员,我们在实现逻辑功能时应尽可能考虑逻辑上的安全,与编码的规范,规避大部分漏洞的产生,要做一个有思想的人。

版权声明

本文刊载的所有内容,均由个人在工作学习中整理 用于个人的工作或学习的复习之用,为原创文章

本文章不得用于各种商业用途

不得侵犯本文及相关权利人的合法权利。

使用本文章进行转载或刊登以及其他涉及文章著作版权时,必须经过此csdn博客博主账号人lsb543284593同意,违者必究

最后 写给读此文章的你

觉得文章对您有一定用处,请记得点赞评论支持博主,您的支持与互动是我最大的动力**

我是博桑 一个跨行程序员

郑瑜伊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java后端XSS攻击护和防止SQL注入
Logger
01-07 2766
最近在重构老项目的部分功能,发现项目中没有对XSS攻击护的过滤,做了XSS过滤器,顺带整理一下内容。 SQL注入 一个SQL注入例子 我们举一个简单的sql注入例子,来解释其是如何进行注入的。假设现有一个登录功能,提交时需要验证用户名和密码,后台的验证是通过查库中的USER表完成的: String sql = "select * from USER where username= ' "+use...
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
JAVA如何御XSS和SQL 注入攻击
最新发布
p13993233504的博客
04-06 595
4. **设置HTTP标头**:通过设置合适的HTTP标头,如`Content-Security-Policy`(CSP),可以限制浏览器加载和执行外部资源,从而减少XSS攻击的风险。对于不符合规则的输入,应予以拒绝或进行适当的处理。11. **使用安全的API**:在开发过程中,使用提供内置护的API,例如使用DOM方法而不是直接操作字符串来处理HTML内容。10. **实施内容安全策略**:定义并实施内容安全策略(CSP),这是一种指定有效来源的技术,可以防止加载来自不可信源的资源。
java实战:防止SQL注入常用方法及代码示例
oandy0的博客
02-15 1372
本文将介绍几种在Java防止SQL注入的常用方法,并提供详细的代码示例。我们将探讨使用预编译的SQL语句(Prepared Statements)、使用ORM框架、使用SQL模板引擎和参数化查询等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以SQL注入攻击。
java项目中如何防止sql注入
alan_liuyue的博客
03-07 2万+
简介 SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令; 实践 项目中如何防止sql注入呢,有以下三点: 前端表单进行参数格式控制; 后台进行参数格式化,过滤所有涉及sql的非法字符; //参考:https://freeman983.iteye.com/blog/1153989 //过滤 '...
【加强】防止sql注入的prepareStatement,连接池DataSource,工具类DataSourceUtil
weixin_52226593的博客
01-15 369
实现类 package datasource; import com.alibaba.druid.pool.DruidDataSourceFactory; import utils.DataSourceUtil; import javax.sql.DataSource; import java.io.IOException; import java.io.InputStream; import java.sql.Connection; import java.sql.PreparedStatemen
java 防止sql xxs注入,Java-JSP网站 SQL注入XSS等攻击有什么好的处理办法?...
weixin_30193269的博客
03-13 147
jsp 来SQL注入XSS等攻击的话,首先要选择PreparedStatement来处理sql语句!同时java后台还需要对页面中接受到的参数进行字符替换!/*** 清除所有XSS攻击的字符串* 学来的!分享!*/public static String getSafeStringXSS(String s){if (s == null || "".equals(s)) {return s;}...
Yii框架防止sql注入xss攻击与csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入xss攻击与csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入xss攻击与csrf攻击的范方法与相关函数调用注意事项,需要的朋友可以参考下
XSS攻击SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
防止xss和sql注入:JS特殊字符过滤正则
12-01
代码如下:function stripscript(s) { var pattern = new RegExp(“[%–`~!@#$^&*()=|{}’:;’,\\[\\].<>/?~!@#¥……&*()——|{}【】‘;:”“’。,、?]”) //格式 RegExp(“[在中间定义特殊过滤字符]”)...
SQL注入XSS攻击
neverSaynever_的博客
02-20 1618
攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。这里不仅仅 div 的内容被注入了,而且 input 的 value 属性也被注入, alert 会弹出两次。我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。
JAVA-添加HTTP响应头预XXS攻击
有点儿文绉绉的小赖的博客
03-22 2133
http响应头缺失,会受到外部xxs跨站攻击,所以在项目中,我们需要可以通过一些配置来预
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7670
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
XSS攻击以及java应对措施
qq_43456605的博客
05-18 5097
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行 “查漏补缺”。XSS 全称 Cross Site Scripting,跨站脚本攻击。
后端Java开发如何XSS攻击
码农小胖哥
06-30 2998
跨站脚本攻击(XSS)可以让攻击者在受害者的浏览器中执行恶意脚本来修改网页内容、将用户重定向到非法网站、伪造用户登录态、窃取用户的隐私信息、甚至还能给程序开个后门等等,所以不得不。今天就...
xss攻击字符过滤器 Java_使用Filter过滤器解决XSS跨脚本攻击和SQL注入问题
weixin_28839601的博客
02-24 978
JAVA开发工程中难免会出现XSS和SQL注入漏洞,这些问题的产生都是由于url中带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。第一步:自定义filter过滤器.public class XSSFilter extends OncePerRequestFilter {private String exclude = null...
java 防止Xss、SQL注入攻击
负数
02-14 2490
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。 1.1.XSS攻击的危害 1、盗取用户资料,比如:登录帐号、网银帐号等 2、利...
Javaweb防止sql注入xss攻击,cros恶意访问
oayoat blog
04-03 1866
https://blog.csdn.net/yhhyhhyhhyhh/article/details/84504487
如何预SQL注入XSS攻击
一个傻子程序媛的博客
06-10 5008
SQL注入简介 SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句...
php防止sql注入xss攻击
06-01
防止SQL注入攻击,可以采取以下措施: 1. 使用参数化查询或预处理语句,这可以防止恶意用户通过在查询中插入额外的SQL代码来攻击数据库。 2. 对用户输入进行过滤和验证,例如限制输入的字符类型、长度、格式等,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值