php sql注入参数过滤器,防SQL注入过滤器的实现

最新推荐文章于 2023-09-02 20:38:00 发布
最新推荐文章于 2023-09-02 20:38:00 发布
阅读量796 收藏
点赞数
文章标签: php sql注入参数过滤器

1- 配置web.xml,增加过滤器配置

PreventSqlInject

SqlInjectFilter

sensitive-words

select insert delete from update create destory drop alter and or like exec count chr mid master truncate char declare ; ' % < >

encrypting-parameter-names

username password

error-page

/sqlInjectError.jsp

debug

false

PreventSqlInject

/*

2- 实现过滤器 SqlInjectFilter

import java.io.IOException;

import java.text.MessageFormat;

import java.util.ArrayList;

import java.util.Arrays;

import java.util.List;

import java.util.Set;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.apache.commons.codec.binary.Base64;

public class SqlInjectFilter implements Filter {

// SQL 注入敏感词列表

private static List sensWords = new ArrayList();

// Base64 加密参数key列表

private static List encrParams=new ArrayList();

// 错误页面

private static String error = "/sqlInjectError.jsp";

// 调试开关

private static boolean debug = false;

@Override

public void destroy() {

}

@Override

public void doFilter(ServletRequest req, ServletResponse res, FilterChain fc)

throws IOException, ServletException {

if (debug) {

System.out.println("prevent sql inject filter works");

}

HttpServletRequest request = (HttpServletRequest) req;

HttpServletResponse response = (HttpServletResponse) res;

request.setCharacterEncoding("UTF-8");

Set keys = request.getParameterMap().keySet();

for (String key : keys) {

String value = request.getParameter(key);

if(encrParams.contains(key)){

value=new String(Base64.decodeBase64(value.getBytes()));

}

if (debug) {

System.out.println(MessageFormat.format("{0}={1}", key,value));

}

for (String word : sensWords) {

if( value.toUpperCase().contains(word.toUpperCase()) ){

request.getSession().setAttribute(

"sqlInjectError",

"the request parameter \"" + value

+ "\" contains keyword: \"" + word + "\"");

response.sendRedirect(request.getContextPath() + error);

return;

}

}

}

fc.doFilter(req, res);

}

@Override

public void init(FilterConfig conf) throws ServletException {

String sSensiWord = conf.getInitParameter("sensitive-words");

String sEncryParam = conf.getInitParameter("encrypting-parameter-names");

String errorPage = conf.getInitParameter("error-page");

String de = conf.getInitParameter("debug");

if (errorPage != null) {

error = errorPage;

}

if(sSensiWord!=null){

sensWords=Arrays.asList(sSensiWord.split(" "));

}

if(sEncryParam!=null){

encrParams=Arrays.asList(sEncryParam.split(" "));

}

if (de != null && Boolean.parseBoolean(de)) {

debug = true;

System.out.println("PreventSQLInject Filter staring...");

System.out.println("print filter details");

System.out.println("sensitive words as fllows (split with blank):");

for (String s : sensWords) {

System.out.print(s + " ");

}

System.out.println();

System.out.println("encrypting parameter key as fllows (split with blank):");

for (String s : encrParams) {

System.out.print(s + " ");

}

System.out.println();

System.out.println("error page as fllows");

System.out.println(error);

System.out.println();

}

}

}

3-新增 errorPage 页面  sqlInjectError.jsp

String path = request.getContextPath();

%>

HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

防sql注入系统

这个是防sql注入系统,自动过滤您的请求,请更换请求字符串。 

Hydro Ding
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 字符串安全过滤_PHP针对Xss跨域攻击以及sql注入等危险字符串过滤安全模块...
weixin_29179311的博客
03-09 331
由于该模块在项目中的要求是 不能提示任何信息,也不作断点操作,只作记录并且过滤危险参数。主要功能:拦截攻击者注入恶意代码,可以御诸如跨站脚本攻击(XSS)、SQL注入攻击等恶意攻击行为。/*** 安全模块* Email:zhangyuan@tieyou.com* 主要针对xss跨站攻击、sql注入敏感字符串进行过滤* @author hkshadow*/class safeMode{/*** ...
SQL注入过滤函数
“小学生”的专栏
01-07 499
今天在google输入"aspx 注入" ,检索到这文章不错,就摘录。我采集的来源http://blog.donews.com/qzzxl/archive/2008/01/04/1243222.aspx不知是否原创。SQL注入过滤函数****************************************************过程名:Check
php sql语句过滤,PHP过滤用户提交信息(SQL注入)
weixin_35964787的博客
03-09 515
请求层面的过滤在 request 层面 我们可能要做的是如何止非法html 的标签的提交, 例如等。在这里 我们可以用一个php 函数 htmlspecialchars (http://www.php.net/manual/en/function.htmlspecialchars.php)这样的话前台提交的所有内容 如果包含html 标签的话 就会被转义,并且在输出的时候 这些标签会直接显示在浏...
php中的sql注入
ocean2017的博客
03-17 1365
addslashes 函数并不能转义所有可能引起 SQL 注入的字符。例如,使用 %、_、- 等字符可以进行模糊查询,而这些字符在 addslashes 函数中并没有被转义。如果用户已经对输入进行了转义,再使用 addslashes 函数可能会导致出现双重转义的问题,从而使字符串变得无效。addslashes 函数仅仅是将某些字符进行了转义,但并没有考虑到不同字符集的编码问题。如果使用的是非 ASCII 字符集,如中文、日语等字符集,那么 addslashes 函数可能会导致字符串变得无效或者出现乱码。
php web sql注入,web安全sql注入就是多过滤PHP过滤函数
weixin_28755847的博客
03-18 270
这篇文章主要介绍了关于web安全sql注入就是多过滤PHP过滤函数 ,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下SQL注入与跨站攻击过滤函数,支持SQL注入,跨站脚本攻击和跨站POST提交等常见安全过滤。...
C# MVC 过滤器SQL注入
09-15
C# MVC 过滤器SQL注入
java 过滤器filtersql注入实现代码
09-01
本文将详细介绍如何使用Java Filter实现SQL注入的功能。 首先,我们需要创建一个实现了`javax.servlet.Filter`接口的类,例如名为`XSSFilter`。这个类将负责拦截请求并处理可能存在的SQL注入风险。下面是一个...
JSP使用过滤器SQL注入的简单实现
01-08
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终...SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程
java过滤器sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!...外网可能会被攻击,简单的处理可以避免!...
sql注入Java过滤器
11-10
配置在web.xml中,可以SQL注入,可以自己定义一些需要过滤的特殊字符
php中htmlspecialchars()函数和addslashes()函数的使用和区别
weixin_30651273的博客
02-13 491
止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb'...
php过滤提交数据 sql注入攻击无标题笔记
09-30 375
原帖:http://www.rising.com.cn/newsletter/news/2012-05-24/11580.html 函数 : mysql_real_escape_string() addslashes() stripslashes() strip_tags() magic_quotes_gpc= register_globals get_magic_
phpSQL注入详解及
生而为人我很抱歉
07-13 1636
一个是没有对输入的数据进行过滤过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误。 对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的源程序和数据库方案),考虑以下简单的登录表单: 复制代码 代码如下: Username: Password: 作为一
SQL注入-报错注入
qq_65240014的博客
08-08 769
本文主要介绍一种结合burpsuite的报错注入的sql注入方法
sql注入 ------- hpp+php绕过waf
m0_59049258的博客
09-02 320
第一层waf将以下关键字都过滤掉了 /select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/is 第二层waf将以下符号转化为实体编码,其中的两个英文括号转化为中文括号 str_replace(array('&', '"', '', '(', ')'), array('&', '"', '<', '>', '(', ')') 利用php特性绕过这些过滤
基于springboot实现SQL注入过滤器
zhangbeizhen18的博客
06-11 2746
记录:273 场景:以过滤器(Filter)的方式,对所有http请求的入参拦截,使用正则表达式匹配入参中的字符串。存在SQL注入风险的参数,中断请求,并立即返回提示信息。不存在SQL注入风险的参数,校验通过后,放入过滤器链,继续后续业务。......
PHPSQL注入的方法
tongluren381的博客
10-20 3748
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql注入_php如何sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
【Matlab仿真】资源useless,don‘t download
最新发布
07-12
【Matlab仿真】资源useless,don‘t download
岗位述职报告PPT模板 (4)
07-12
【作品名称】:岗位述职报告PPT模板 (4) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
php sql注入过滤器
09-20
PHP提供了一些内置的函数来SQL注入攻击,比如使用mysqli_real_escape_string函数对输入进行转义,或者使用PDO预处理语句来处理数据库查询。此外,还可以使用过滤函数filter_var和filter_input来过滤用户输入,确保输入的数据符合预期的格式和类型,从而减少SQL注入的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值