java sql过滤_防止常见XSS 过滤 SQL注入 JAVA过滤器filter

最新推荐文章于 2024-06-14 14:15:08 发布
最新推荐文章于 2024-06-14 14:15:08 发布
阅读量280 收藏
点赞数
文章标签: java sql过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36152824/article/details/114425371
版权

/****/

packagecom.cup.cms.web.framework.filter;importjava.util.regex.Pattern;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletRequestWrapper;/*** @Author hithedy

* @Date 2016年2月2日

* @Time 下午2:03:19*/

public class XssAndSqlHttpServletRequestWrapper extendsHttpServletRequestWrapper {

HttpServletRequest orgRequest= null;publicXssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {super(request);

orgRequest=request;

}/*** 覆盖getParameter方法,将参数名和参数值都做xss & sql过滤。

* 如果需要获得原始的值,则通过super.getParameterValues(name)来获取

* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖*/@OverridepublicString getParameter(String name) {

String value= super.getParameter(xssEncode(name));if (value != null) {

value=xssEncode(value);

}returnvalue;

}/*** 覆盖getHeader方法,将参数名和参数值都做xss & sql过滤。

* 如果需要获得原始的值,则通过super.getHeaders(name)来获取

* getHeaderNames 也可能需要覆盖*/@OverridepublicString getHeader(String name) {

String value= super.getHeader(xssEncode(name));if (value != null) {

value=xssEncode(value);

}returnvalue;

}/*** 将容易引起xss & sql漏洞的半角字符直接替换成全角字符

*

*@params

*@return

*/

private staticString xssEncode(String s) {if (s == null ||s.isEmpty()) {returns;

}else{

s=stripXSSAndSql(s);

}

StringBuilder sb= new StringBuilder(s.length() + 16);for (int i = 0; i < s.length(); i++) {char c =s.charAt(i);switch(c) {case '>':

sb.append(">");//转义大于号

break;case '

sb.append("<");//转义小于号

break;case '\'':

sb.append("'");//转义单引号

break;case '\"':

sb.append(""");//转义双引号

break;case '&':

sb.append("&");//转义&

break;case '#':

sb.append("#");//转义#

break;default:

sb.append(c);break;

}

}returnsb.toString();

}/*** 获取最原始的request

*

*@return

*/

publicHttpServletRequest getOrgRequest() {returnorgRequest;

}/*** 获取最原始的request的静态方法

*

*@return

*/

public staticHttpServletRequest getOrgRequest(HttpServletRequest req) {if (req instanceofXssAndSqlHttpServletRequestWrapper) {return((XssAndSqlHttpServletRequestWrapper) req).getOrgRequest();

}returnreq;

}/***

* 防止xss跨脚本攻击(替换,根据实际情况调整)*/

public staticString stripXSSAndSql(String value) {if (value != null) {//NOTE: It's highly recommended to use the ESAPI library and//uncomment the following line to//avoid encoded attacks.//value = ESAPI.encoder().canonicalize(value);//Avoid null characters

/**value = value.replaceAll("", "");***/

//Avoid anything between script tags

Pattern scriptPattern = Pattern.compile("(.*?)[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);

value= scriptPattern.matcher(value).replaceAll("");//Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e-xpression

scriptPattern = Pattern.compile("src[\r\n| | ]*=[\r\n| | ]*[\\\"|\\\'](.*?)[\\\"|\\\']", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");//Remove any lonesome tag

scriptPattern = Pattern.compile("[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);

value= scriptPattern.matcher(value).replaceAll("");//Remove any lonesome

scriptPattern = Pattern.compile("<[\r\n| | ]*script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");//Avoid eval(...) expressions

scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");//Avoid e-xpression(...) expressions

scriptPattern = Pattern.compile("e-xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");//Avoid javascript:... expressions

scriptPattern = Pattern.compile("javascript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);

value= scriptPattern.matcher(value).replaceAll("");//Avoid vbscript:... expressions

scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);

value= scriptPattern.matcher(value).replaceAll("");//Avoid οnlοad= expressions

scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");

}returnvalue;

}

}

腹黑大狸子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java--Filter过滤器防止XSS SQL注入
JustinQin
11-17 2873
一、攻击说明 XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入 所谓SQL注入,就是通过把SQL命令插入到...
基于ESAPI的防sql注入jar包及使用示例.rar
10-17
基于ESAPI的防sql注入jar包及使用示例 esapi-2.1.0.1.jar包 两个properties文件 一个java工具类 一个说明文档
java 防止XssSQL注入攻击
负数
02-14 2516
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。 1.1.XSS攻击的危害 1、盗取用户资料,比如:登录帐号、网银帐号等 2、利...
springboot注入一个xss filter
最新发布
猿脑2.0的博客
06-14 443
在 Spring Boot 应用程序中注册一个 XSS 过滤器,你需要创建一个过滤器类(如上所述),然后通过一个配置类将其注册到 Spring 的过滤器链中。完成以上步骤后,你的 XSS 过滤器就会在 Spring Boot 应用程序中注册并生效了。它会自动应用到所有的请求中,清理潜在的 XSS 攻击代码。方法用于指定过滤器应该拦截的请求类型(如REQUEST、FORWARD、INCLUDE、ERROR等)。类被 Spring 托管,可以通过在类上添加。在这个配置类中,我们通过。注解或者在配置类中通过。
java xss过滤器_防止常见XSS 过滤 SQL注入 JAVA过滤器filter
weixin_42520132的博客
02-16 191
value = scriptPattern.matcher(value).replaceAll("");// Remove any lonesometagscriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);value = scriptPattern.ma...
javaweb中的过滤器Filter筛选非法字符
qq_43973203的博客
04-07 474
筛选非法字符 需求: 当用户发出非法言论的时候,提示用户言论非法。 步骤分析: 确定访问的是哪些连接 /day09_filter/words?kw=你是个笨蛋 //非法 /day09_filter/words?kw=你是个坏蛋 //非法 /day09_filter/words?kw=你是个Y蛋 //合法 编写一个properties文件,存放这些敏感词汇,规定通过","分...
java 过滤非法字符_java过滤去掉文件名非法字符
weixin_35953155的博客
02-12 875
为了合理性,过滤文件名非法字符是必须的,果断地要干掉.....有时候数据库读出来的名字无法再本地创建文件,需要去掉非法字符。windows现在已知的文件名非法字符有 \ / : * ? " < > |private static Pattern FilePattern = Pattern.compile("[\\\\/:*?\"<>|]");public static St...
java 过滤器filtersql注入的实现代码
09-01
Java Web开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过恶意构造的SQL语句来操控数据库。为了防止这种攻击,开发者通常会使用过滤器Filter)来对用户输入进行预处理,确保输入的数据不会对系统造成危害...
java过滤器防止XSSSQL
01-08
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
java web Xsssql注入过滤器.zip
04-22
本项目"java web Xsssql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
预防XSS攻击和SQL注入XssFilter
07-23
三、过滤器配置 web.xml配置 <filter> <filter-name>XssFilter</filter-name> <filter-class>com.xxx.Filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>XssFilter</filter-name> ...
java 过滤非法字符_java 过滤用户提交表单非法字符
weixin_30286727的博客
02-12 298
一。写一个过滤器代码如下:package com.liufeng.sys.filter;import java.io.IOException;import java.io.PrintWriter;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import ...
利用filter(过滤器)拦截非法字符
系阿升呀的博客
03-22 3641
一、需求 当用户发出非法言论的时候,提示用户言论非法。 二、分析 创建一个表单用于发表言论。 创建一个txt文件,其中存入非法字符。 创建一个Filter,拦截请求。在init方法中将txt文件中的非法字符读取到内存中。 获取请求中的参数,对请求的参数进行非法字符的校验。 如果言论中没有含有非法字符,就放行。 如果言论中含有非法字符,就拦截,并且提示用户非法言论。 三、实现过程 整个案例的结构...
java sql过滤_Java防止SQL注入(通过filter过滤器功能进行拦截)
weixin_35659005的博客
02-12 953
package com.jsoft.jblog.filter;import java.io.IOException;import java.util.Enumeration;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servl...
java 过滤器filtersql注入
flyear_cn
09-15 767
转自:http://blog.csdn.net/xb12369/article/details/22921629 XSSFilter.java [java] view plaincopy public void doFilter(ServletRequest servletrequest,               ServletR
java 过滤sql关键字_java - 如何通过在java-sql应用程序中输入所有列数据来过滤搜索? - SO中文参考 - www.soinside.com...
weixin_39723010的博客
02-25 240
在过去的几天里,我一直在努力解决这个问题。我有一个SerachUser函数,在其中将所有数据(例如年龄,性别,城市和兴趣)输入每个字符串,并将其检查到select查询命令中。如果有数据,请打印出来。很遗憾,搜索无法完全正常进行。例如:我的表用户没有'F'性别。但是,如果我键入“ F”,我仍然会获得数据,而不是显示“ ResultSet in Java中为空”。下面是我完成的简短代码。try{con...
java sql注入 过滤器_java 过滤器filtersql注入的实现代码
weixin_39828783的博客
02-12 222
实例如下:XSSFilter.javapublic void doFilter(ServletRequest servletrequest,ServletResponse servletresponse, FilterChain filterchain)throws IOException, ServletException {//flag = true 只做URL验证; flag = false...
过滤SQL非法字符
weixin_34279061的博客
04-03 221
/// &lt;summary&gt; /// 过滤SQL非法字符串 /// &lt;/summary&gt; /// &lt;param name="value"&gt;&lt;/param&gt; /// &lt;returns&gt;&lt;/returns&gt; public static string Filter(string value) { if (string
Java防止SQL注入(通过Filter过滤器功能进行拦截)
qq_37272886的博客
05-18 6586
前言 contentType=multipart/form-data的header以文件流的的形式上传文件时,如果代码中使用了Filter,会出现无法用Filter 中用ServletRequest.getParameter 方法取不到一并提交上来的参数 multipart/form-data格式: package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import java.
Java过滤器防御XSSSQL注入实战
"本文介绍了如何使用Java过滤器来防范XSS跨站脚本攻击和SQL注入攻击,通过在web.xml配置文件中定义过滤器,并编写相应的Filter实现类来拦截和处理恶意输入,保护Web应用程序的安全性。" 在Web开发中,安全性是至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值