SQL注入漏洞修复

于 2024-07-05 15:32:42 发布
阅读量93 收藏
点赞数 2
文章标签: java sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39459811/article/details/140210326
版权

sql注入过滤器:SqlInjectFilter

@WebFilter(urlPatterns = "/xxx/list")
//@WebFilter(urlPatterns = "/*", filterName = "SQLInjection", initParams = { @WebInitParam(name = "regx", value = "(?:')|(?:--)|(/\\\\*(?:.|[\\\\n\\\\r])*?\\\\*/)|" +
//        "(\\\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\\\b)") })
public class SqlInjectFilter implements Filter {
    private static final Logger logger = LoggerFactory.getLogger(SqlInjectFilter.class);

    private String regx;


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
//        this.regx = filterConfig.getInitParameter("regx");
        this.regx = "(?:')|(?:--)|(/\\\\*(?:.|[\\\\n\\\\r])*?\\\\*/)|" +
        "(\\\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\\\b)";
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) servletRequest;
        Map parametersMap = servletRequest.getParameterMap();
        Iterator it = parametersMap.entrySet().iterator();
        while (it.hasNext()) {
            Map.Entry entry = (Map.Entry) it.next();
            String[] value = (String[]) entry.getValue();
            for (int i = 0; i < value.length; i++) {
                if (null != value[i] && value[i].matches(this.regx)) {
                    logger.error("您输入的参数有非法字符,请输入正确的参数!");
                    servletRequest.setAttribute("err", "您输入的参数有非法字符,请输入正确的参数!");
                    servletRequest.setAttribute("pageUrl", req.getRequestURI());
                    servletRequest.getRequestDispatcher(servletRequest.getServletContext().getContextPath() + "/error").forward(servletRequest, servletResponse);
                    return;
                }
            }
        }
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() { }
}

一朵祁连小鱼
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql sql注入漏洞修复_SQL注入漏洞解析与靶场复现
weixin_36043375的博客
02-26 1209
1. 概述SQL注入(SQL Injectioin)漏洞是注入漏洞中危害性最高的漏洞之一。形成的原因主要是在数据交互过程中,前端的数据传入后端时,没有作严格的验证过滤导致传入的“数据”拼接到了SQL语句中。被数据库当作SQL语句的一部分执行,从而使得数据面临被脱库、恶意破坏篡改甚至造成整个系统权限沦陷等一系列危害。注入攻击的本质是把用户输入的数据当作代码执行。造成注入攻击有两个关键条件:①用户能够...
修复SQL注入漏洞 两种方法
cuanli7032的博客
03-16 2408
之前在网上找到一个在线的网站漏洞扫描工具,叫亿思平台,是一个免费的web安全扫描平台。反正免费,就测试自己的一个网站,没想到还真扫描出SQL注入漏洞。但里面没有提供自动修复功能,需要自己动手来修复。经过反复查看论坛资料,还真让我...
SpringBoot注解形式配置过滤器(Filter)
昝昝的博客
07-11 3087
@Component @Order //过滤器加载的顺序 默认Integer.MAXVALUE @WebFilter(urlPatterns = "/*",filterName = "wholeFilter") //拦截所有路径 public class WholeFilter implements Filter { @Override public void init(Filt...
SQL 注入漏洞原理以及修复方法
最新发布
it知识分享 free for nothing..
01-23 8623
SQL 注入漏洞原理以及修复方法
(SQL)注入漏洞修复
qq_31763129的博客
05-09 6921
一、 /include/filter.inc.php文件,搜索(大概在46行的样子)      return $svar;      修改为      return addslashes($svar);      二、/member/mtypes.php文件,搜索(大概在71行的样子)      $query = "UPDATE `dede_mtypes` SET mtypename='$name...
php中sql注入漏洞示例 sql注入漏洞修复
10-26
主要介绍了php中sql注入漏洞示例,大家在开发中一定要注意
PHPCMS2008广告模板SQL注入漏洞修复
10-21
PHPCMS2008是一款流行的开源内容管理系统,然而,如标题所示,它存在一个广告模板SQL注入漏洞,这个问题在2008年的版本中尤为突出。SQL注入是一种常见的网络安全威胁,允许攻击者通过操纵输入数据来执行恶意SQL命令...
SQL注入漏洞全接触.ppt
11-15
"SQL注入漏洞全接触"知识点总结 一、 SQL注入漏洞的定义和原理 * SQL注入漏洞是指攻击者通过构造特殊的输入,来获取或修改服务器上的敏感数据。 * SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及...
aop+MDC 给每次请求追加流水号,并在业务代码中追踪
dengpu90的博客
05-08 1620
今天项目经理跑来跟我说,想要在给每次请求配置一个流水号,使之可以在请求中的业务代码之间追踪。 我查了下Logback的资料,发现有一个功能MDC(mapped diagnostic context)可以实现,通过把上下文信息放入MDC中,来标记每个请求。 https://logback.qos.ch/manual/mdc.html 根据官方实例,有了基本思路: 通过AOP,给每个we...
sql注入漏洞与如何解决
热门推荐
太多的虚幻
08-20 1万+
关于sql注入漏洞 这个问题说白了其实很简单,就是因为sql语句使用拼接字符串导致的 举例String sql="SELECT * FROM userdata WHERE user="+user;上面这条语句就存在sql注入漏洞,因为最后的use是用字符串拼接的,再看下面的写法。String sql="SELECT * FROM userdata WHERE user=?";上面的语句便不存在s
SQL注入漏洞过程实例及解决方案
09-08
主要介绍了SQL注入漏洞过程实例及解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
网站代码sql注入攻击漏洞修复加固防护措施
网站安全专家
10-21 2284
这就是如何防御SQL注入攻击,如果您对如何防止SQL注入攻击不是太懂的话,建议找专业的网站安全公司来帮您解决漏洞,国内像SINE安全,鹰盾安全,绿盟,启明星辰,深信服都是比较不错的网络安全公司,来防止网站受到SQL注入攻击。企业网站的运营者应该使用专业的网站漏洞检测软件去检测网站存在哪些SQL注入漏洞,例如像accunetix软件。在大部分的时候,SQL语句都是可以正常运行的。数据库未配置适当的安全性(请为网站以及APP设置特定的数据库权限的账户,而不是使用服务器的账户或管理员账户来运行)。
SQL注入漏洞修复方案及代码审计
fengxioabai的博客
03-18 1061
⼀个成功的SQL注⼊攻击可以从 数据库中获取敏感 数据、修改数据库数据(插⼊/更新/删除)、执⾏数据库管理操作 (如关闭数据库管理系统)、恢 复存在于数据库⽂件系统中的指定⽂件 内容,在某些情况下能对操作系统发布命令。由于⽤户的输⼊,也是SQL语句的⼀部分,所以 攻击者可以利⽤这部分可以控制的内容,注⼊⾃⼰定义的语句,改变SQL语句 执⾏逻辑,让数据库执⾏任意⾃⼰需要 的指令。通过控制部分SQL语句,攻击者可以查询数据库中任何⾃⼰需要的数据,利⽤数据库的⼀ 些特性,可以直接 获取数据库服务器的系统权限。
最新SQL注入漏洞修复建议
MachineGunJoe666
10-27 378
多数CMS都采用过滤危险字符的方式,例如,用正则表达式匹配union、sleep、load_file等关键字。如果匹配到,则退出程序。使用PDO预编译语句时需要注意的是,不要将变量直接拼接到PDO语句中,而是使用占位符进行数据库中数据的增加、删除、修改、查询。示例代码如下:​​​​​​​。使用过滤的方式,可以在一定程度上防止出现SQL注入漏洞,但仍然存在被绕过的可能。常用的SQL注入漏洞修复方法有两种。
【网络安全】SQL注入漏洞修复建议
Yb528970805的博客
09-25 1884
修复SQL注入漏洞需要仔细过滤危险字符和使用参数化查询或预编译语句。这两种方法可以有效地保护您的应用程序免受SQL注入攻击的威胁。在编写代码时,请始终考虑安全性,以确保您的应用程序和用户的数据都得到充分的保护。如果你也需要学网络安全,成为一名白帽黑客,可以看这份2023年最详细最全面的教程资料合集内容【戳下文链接即可学习】自学网络安全(黑客)技术多长时间能达到就业的水平?t=N7T8自学网络安全(黑客)技术多长时间能达到就业的水平?
SQL注入漏洞解决心得
Chumy_CC的博客
07-14 3663
SQL注入有哪些危害? 1、攻击者未经授权可访问数据库中的数据,盗取用户信息,造成用户数据泄露。 2、对数据库进行增删改查操作,导致权限模糊或丢失 3、可植入木马,篡改数据等
安全攻防六:SQL注入,明明设置了强密码,为什么还会被别人登录
运维大湿兄的博客
04-11 1355
在正文之前,让我们先来看一个案例。某天,当你在查看应用的管理后台时,发现有很多异常的操作。接着,你很快反应过来了,这应该是黑客成功登录了管理员账户。于是,你立刻找到管理员,责问他是不是设置了弱密码。管理员很无辜地表示,自己的密码非常复杂,不可能泄漏,但是为了安全起见,他还是立即修改了当前的密码。奇怪的是,第二天,黑客还是能够继续登录管理员账号。问题来了,黑客究竟是怎么做到的呢?你觉得这里面的问题究...
SQL注入漏洞
Flonan的博客
03-17 674
SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入攻击SQL注入的发生: 当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的...
mysql sql注入漏洞修复
10-24
MySQL SQL注入漏洞修复可以采用以下几种方法: 1. 使用预编译语句:使用预编译语句可以避免SQL注入攻击,因为预编译语句会将SQL语句和参数分开处理,从而避免了恶意用户在参数中注入SQL代码。例如,使用PreparedStatement对象代替Statement对象。 2. 过滤输入数据:在应用程序中对用户输入的数据进行过滤,例如去除特殊字符、限制输入长度等,可以有效地防止SQL注入攻击。 3. 使用ORM框架:ORM框架可以自动将Java对象映射到数据库表中,从而避免了手动编写SQL语句的过程,也可以避免SQL注入攻击。 4. 限制数据库用户权限:限制数据库用户的权限,例如只允许执行特定的SQL语句,可以有效地减少SQL注入攻击的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值