springmvc 拦截器_SpringMVC是如何利用拦截器防止SQL注入

最新推荐文章于 2024-06-06 22:22:50 发布
最新推荐文章于 2024-06-06 22:22:50 发布
阅读量542 收藏
点赞数
文章标签: springmvc 拦截器 springmvc拦截器 如何防止sql注入

SQL注入简介

通俗的讲,SQL注入就是恶意黑客或者竞争对手利用现有的B/S或者C/S架构的系统,将恶意的SQL语句通过表单等传递给后台SQL数据库引擎执行。比如,一个黑客可以利用网站的漏洞,使用SQL注入的方式取得一个公司网站后台的所有数据。试想一下,如果开发人员不对用户传递过来的输入进行过滤处理,那么遇到恶意用户的时候,并且系统被发现有漏洞的时候,后果将是令人难以想象的。最糟糕的是攻击者拿到了数据库服务器最高级的权限,可以对整个数据库服务器的数据做任何操作。

通常情况下,SQL注入攻击一般分为以下几个步骤:

  • 判断WEB环境是否可以注入SQL。对于一个传统的WEB网页来说,如果是一个简单的静态页面,比如地址为http://www.news.com/100.html的网页,这是一个简单的静态页面,一般不涉及对数据库的查询。而如果这个网页的网址变成了:http://www.news.com/news.asp?id=100 那么,这就是一个根据主键id来查询数据的动态网页了。攻击者往往能够在 id=100的后面加上一些自己的SQL,用来“欺骗”过应用程序。
  • 寻找SQL注入点。当攻击者确定某个页面可以使用SQL注入之后,他一般会寻找可以SQL注入的点。而这些点往往就是网页或者应用程序中的用于向服务器发送用户数据的表单了。一般的流程是,客户端通过这些表单发送一些用户信息的字段,比如用户名和密码,接着服务器就会根据这些字段去查询数据库。而如果用户输入了一些非法的字符,比如’这个符号,那么在SQL解析的时候,解析的结果可能并不是应用开发人员想象中那样。
  • 寻找系统的后台。这一点就建立在破坏者对整个系统的了解程度上面了,如果攻击者对整个系统了如指掌,那么实现攻击也就是一件很简单的事情了。
  • 入侵和破坏。当攻击者攻破系统之后,整个系统从某种意义上来讲已经失去意义了。

SQL注入案例

一个简单的PHP登录验证SQL注入

比如一个公司有一个用来管理客户的客户管理系统,在进入后台进行管理的时候需要输入用户名和密码。

假设在客户端传给服务器的字段分别为用户名username和密码password,那么如果用来处理登录的服务器端代码对用户的输入做以下处理:

626b5e582f7228ab4ecb13941606269c.png

上面的PHP代码就是首先获取客户端POST过来的填写在表单里面的用户名和密码,接着要MySQL去执行下面这条SQL语句:

SELECT `id` FROM `users` WHERE `username` = username AND `password` = password;

可以看到上面的代码没有对用户的输入做任何的过滤,这是非常容易遭到黑客攻击的。

比如,一个用户在输入用户名的输入框里面输入了

user’;SHOW TABLES;--

那么就会解析为下面的SQL:

SELECT `id` FROM `users` WHERE `username` = ‘user’;SHOW TABLES;-- AND `password` = password;

可以看到被解析的SQL被拆分为了2条有用的SQL:

(1)SELECT `id` FROM `users` WHERE `username` = ‘user’;(2)SHOW TABLES;

而后面验证密码的部分就被注释掉了。这样攻击者就轻松的获得了这个数据库里面的所有表的名字。同样的道理,如果攻击者在输入框里面输入:

’;DROP TABLE [table_name];--

那么,这一张表就被删除了,可见后果是非常严重的。

而用户如果在用户名输入框里面输入了:user’or 1=1--

那么会被解析成:

SELECT `id` FROM `users` WHERE `username` = ‘user’or 1=1-- AND `password` = password;

这里可以看到1=1永远为真,这样不用输入用户名就直接可以登入系统了。

一个ASP新闻动态页面的id查询

比如有一个新闻网站的动态页面是这种格式:

http://www.news.com/news.asp?id=100

那么当用户在浏览器的地址框里面输入

http://www.news.com/news.asp?id=100;and user>0

那么如果这个网站的数据库用的是SQL Server的话,那么SQL Server在解析的时候,由于user是SQL Server的一个内置变量,它的值就是当前连接数据库的用户,那么SQL在执行到这里的时候会拿一个类型为nvarchar的和一个int类型的比较。比较过程中就必然涉及类型的转化,然而不幸的是,转化过程并不是一帆风顺,出错的时候SQL Server将会给出类似将nvarchar值”aaa”转为为int的列时发生语法错误。这个时候攻击者就轻松的获得了数据库的用户名。

SpringMVC拦截器防止SQL注入

为了有效的减少以及防止SQL注入的攻击,开发人员在开发的时候一定不要期待用户的输入都是合理的,当用户输入完毕之后,应该严谨的对用户提交的数据进行格式上的检查以及过滤,尽可能的减少被注入SQL 的风险。

一般来说,不同的服务器端语言都有不同的解决方案。比如拿中小型企业采用得最多的PHP语言来说,PHP的官方就为开发者提供了这样的一些函数,比如mysql_real_escape_string()等。

接下来会详细介绍如何通过SpringMVC的拦截器实现防止SQL注入的功能。

这里以我的大数据人才简历库的拦截器为例。

自定义拦截器类SqlInjectInterceptor实现HandlerInterceptor接口

核心处理方法

4987e6ec7c28ead397dd473774eaf9af.png

配置拦截器

15102bffb1b9ac3121d887cc6b33c591.png

SQL注入总结

安全问题从古至今都有着非常高的关注度,如今互联网高速发达,各种网络应用层出不穷。不管是现在炙手可热的云计算和大数据,还是传统的B/S或者C/S架构的网络应用,数据的安全性是至关重要的。从应用层面来讲,网络应用的开发者可以通过完善软件的架构,尽量减少因为BUG而导致的数据泄漏的问题。开发者可以不断的审视与完善自己的系统,站在攻击者的角度上去开发某些关键的安全性要求比较高的环节,如银行支付部分等,这样能够在一定程度上面减少SQL注入等应用层面攻击数据库的风险。

81d3f6dc7a5ad7ebc9e15e97fd1db6a8.png
weixin_39603265
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringMVC利用拦截器防止SQL注入
weixin_30377461的博客
01-11 371
http://www.imooc.com/article/6137 转载于:https://www.cnblogs.com/diyunpeng/p/6273428.html
spring3.0 MVC初步5-利用拦截器防止SQL注入
热门推荐
concen的专栏
11-23 1万+
一、定义拦截器类实现HandlerInterceptor接口 public class SqlInjectIntercepter implements HandlerInterceptor {  @Override  public void afterCompletion(HttpServletRequest arg0,    HttpServletResponse arg1, Objec
Spring-Cloud-Gateway-实现XSS、SQL注入拦截
lbmydream的博客
06-06 1219
XSS和SQL注入是Web应用中常见计算机安全漏洞,文章主要分享通过Spring Cloud Gateway 全局过滤器对XSS和SQL注入进行安全防范。写这篇文章也是因为项目在经过安全组进行安全巡检时发现项目存储该漏洞后进行系统整改,本文的运行结果是经过安全组验证通过。
SpringMvc拦截器,统一异常拦截,非法sql拦截(小白易懂版
weixin_52293201的博客
05-27 518
SpringMVC中的interceptor拦截器,它主要的作用是拦截指定的用户请求,并进行相应的预处理与后处理。其拦截的时间点在“处理器映射器根据用户提交的请求映射出了所要执行的处理器类,并且也找到了要执行该处理器类的处理器适配器,在处理器适配器执行处理器之前。”当然处理器映射器映射出所要执行的处理器类时,已经将拦截器与处理器组合为了一个处理器执行链,并返回给了中央调度器。
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
spring mysql防注入攻击_springmvcsql注入 最简单最直接的方式
weixin_29419979的博客
01-27 657
一直以来服务器没有被攻击过,前一段时间忽然发现数据库中多了很多垃圾数据,很明显是被sql注入的行为,看来是时候要认真起来了。首先,什么是sql注入,度娘一下一大堆,官方语言我就不多说了,说说我自己的理解吧。sql注入就是通过url或者post提交数据时候,字符串类型的参数会被别人利用传入sql语句,最终破坏数据库或者达到一些见不得人的目的。有时候因为业务需要url中会带一些参数,比如 ?type...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
SpringBoot 之 SpringMVC 实现SQL注入过滤 完整版(支持POST请求和GET请求)
zhouzhiwengang的专栏
09-19 4569
首先请参考:SpringBoot 之 SpringMVC拦截器从Request中获取参数并解决request的请求流只能读取一次的问题 参考完上面的代码,现在开始编辑SQL注入拦截器,核心功能代码如下: package com.digipower.erms.interceptor; import java.io.BufferedReader; import java.io.InputStr...
防止SpringMVC拦截器拦截js等静态资源文件的解决方法
10-19
2. 方案二通过利用默认的Servlet来处理静态资源,避免了SpringMVC拦截器的干扰,并且简化了配置。这种方法适用于不想在SpringMVC中做太多配置的场景。 3. 方案三通过改变请求的URL模式,使得DispatcherServlet只...
springmvc 拦截器
05-08
如果一个请求被拦截器链中的某个拦截器阻止,后面的拦截器都不会被执行。 8. **应用场景** - 权限验证:在请求到达Controller之前检查用户是否有权限访问。 - 日志记录:记录用户的请求信息,便于跟踪和调试。 -...
SpringMVC拦截器实现单点登录
08-28
SpringMVC 的框架下,我们通常利用拦截器(Interceptor)来实现这一功能,因为拦截器可以对所有请求进行预处理,从而实现对特定请求的拦截和控制。 首先,我们需要了解 SpringMVC 拦截器的工作机制。SpringMVC ...
Java实训教程 Java软件开发实战 Java开发框架介绍 SpringMVC_10_拦截器 共7页.pptx
最新发布
07-11
### Java实训教程知识点详解——SpringMVC拦截器 #### 一、SpringMVC概述与应用场景 SpringMVC作为Spring框架中的一个模块,主要用于构建Web应用。它是一个基于MVC(Model-View-Controller)设计模式的轻量级框架...
springmvcsql注入 最简单最直接的方式
weixin_34419321的博客
11-11 1850
为什么80%的码农都做不了架构师?>>> ...
spirngmvc解决SQL注入
qq_34840285的博客
12-03 1280
SpringMVC解决SQL注入 参考自 [spring解决SQL注入问题:自定义拦截器][https://blog.csdn.net/lj1548259095/article/details/53405088] 一、简介 一个开发好的系统,如果没有增加防SQL注入,那么别人可能会通过SQL注入去对数据库进行非法操作。所以增加防SQL注入就显的比较关键。 二、解决思路 在配置类中设置SQL注入拦截器,通过判断用户输入的参数中是否包含非法攻击性字符来拦截请求。 三、具体实现 1、创建一个拦截器 packa
拦截所有ibatissql执行_SpringMVC中的拦截器
weixin_28893597的博客
01-20 512
关注不迷路大家好,今天我给大家分享一下SpringMVM中的拦截器Springmvc的处理器拦截器类似于Servlet 开发中的过滤器Filter,用于对处理器进行预处理和后处理。本文主要总结一下springmvc拦截器是如何定义的,以及测试拦截器的执行情况和使用方法。1. SpringMVC拦截器的定义在springmvc中,定义拦截器要实现HandlerInterceptor接口,并实现该...
利用拦截器实现sql防止注入
an341221的专栏
01-29 1万+
web.xml的代码: sqlInjectionFilter com.suning.mcms.web.auth.filter.SqlInjectionFilter sqlInjectionFilter *.do 拦截器的代码: package com.suning.mcms.web.
利用spring AOP 实现 sql注入检测
三三两两的博客
05-20 956
转https://blog.csdn.net/weixin_41922289/article/details/88267790 利用spring AOP 实现 sql注入检测 什么是sql注入? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入...
Spring MVC通过拦截器处理sql注入、跨站XSS攻击风险
weixin_30933531的博客
05-10 697
sql注入就是通过url或者post提交数据时候,字符串类型的参数会被别人利用传入sql语句,最终破坏数据库或者达到一些见不得人的目的。 有时候因为业务需要url中会带一些参数,比如 ?type=xxx 一些人就会把type写成sql语句 比如:?type=’ or 1=1– 最终拼接成的sql语句就变成了:select * from table where disabled=0 an...
java拦截了返回的数据_详解利用SpringMVC拦截器控制Controller返回值
06-10
好的,我明白了。对于你的问题,我可以这样回答: 利用 SpringMVC 拦截器可以控制 Controller 返回值。拦截器是一种 AOP 的技术,可以在请求处理过程中对请求进行拦截和处理,如校验用户权限、记录请求日志等。在处理 Controller 返回值时,可以通过拦截器对返回值进行处理,如对返回值进行加密、压缩等操作。 具体实现步骤如下: 1. 自定义一个拦截器类并实现 HandlerInterceptor 接口。 2. 在 Spring 配置文件中注册拦截器。 3. 在拦截器中重写 preHandle() 和 postHandle() 方法,分别在请求处理前和请求处理后进行拦截和处理。 4. 在 postHandle() 方法中获取 Controller 返回值并进行处理,如加密、压缩等操作。 下面是一个简单的示例代码: ```java public class MyInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 在请求处理前进行拦截和处理 return true; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { // 在请求处理后进行拦截和处理 if (modelAndView != null) { // 对返回值进行加密、压缩等操作 } } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { // 在请求完成后进行拦截和处理 } } ``` 在 Spring 配置文件中注册拦截器: ```xml <mvc:interceptors> <bean class="com.example.MyInterceptor"/> </mvc:interceptors> ``` 这样就可以利用 SpringMVC 拦截器控制 Controller 返回值了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值