mysql查询防拦截_防止sql注入拦截

最新推荐文章于 2023-08-25 00:03:00 发布
最新推荐文章于 2023-08-25 00:03:00 发布
阅读量350 收藏
点赞数
文章标签: mysql查询防拦截
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39641257/article/details/113716621
版权

packagecom.booway.pwbzh.util;importjava.util.Enumeration;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax.servlet.ServletException;importjavax.servlet.ServletRequest;importjavax.servlet.ServletResponse;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletResponse;/*** sql注入攻击拦截

*@authors*/

public class SqlInjectFilter implementsFilter

{

FilterConfig filterConfig= null;/*** 初始化

*@paramfilterConfig filterConfig

*@throwsServletException 异常*/

public void init(FilterConfig filterConfig) throwsServletException

{this.filterConfig =filterConfig;

}public voiddestroy()

{this.filterConfig = null;

}public voiddoFilter(ServletRequest request, ServletResponse response, FilterChain chain)

{

HttpServletRequest req=(HttpServletRequest) request;

HttpServletResponse res=(HttpServletResponse) response;try{//获得所有请求参数名

Enumeration params =req.getParameterNames();

String sql= "";while(params.hasMoreElements())

{//得到参数名

String name =params.nextElement().toString();//得到参数对应值

String[] value =req.getParameterValues(name);for (int i = 0; i < value.length; i++)

{

sql= sql +value[i];

}

}//截取我要拦截的字段

sql =getfilte(sql);//有sql关键字,跳转到error.html

if(sqlValidate(sql))

{

res.setHeader("SESSIONSTATUS", "TIMEOUT");

res.setHeader("CONTEXTPATH", req.getContextPath() + "/pwbzh_module/500.jsp");

res.setStatus(HttpServletResponse.SC_FORBIDDEN);return;//throw new IOException("您发送请求中的参数中含有非法字符");

}

chain.doFilter(request, response);

}catch(Exception e)

{

e.printStackTrace();

}

}//效验

protected static booleansqlValidate(String str)

{

str= str.toLowerCase();//统一转为小写

String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" + "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" + "table|from|grant|use|group_concat|column_name|" + "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" + "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字,可以手动添加

String[] badStrs = badStr.split("\\|");for (int i = 0; i < badStrs.length; i++)

{//循环检测,判断在请求参数当中是否包含SQL关键字

if (str.indexOf(badStrs[i]) >= 0)

{return true;

}

}return false;

}//截取需要拦截的字段

protected staticString getfilte(String str)

{int idex = str.indexOf("filter");

String ss= "";if (idex < 0)

{returnss;

}if (str.indexOf(",", idex) < 0)

{

ss=str.substring(idex, str.length());

}else{

ss= str.substring(idex, str.indexOf(",", idex));

}returnss;

}

}

weixin_39641257
关注
mysql拦截器实现crud_CRUD工程师---拦截器的使用
weixin_30468419的博客
02-08 277
拦截器:是在面向切面编程的就是在你的service或者一个方法,前调用一个方法,或者在方法后调用一个方法比如动态代理就是拦截器的简单实现,在你调用方法前打印出字符串(或者做其它业务逻辑的操作),也可以在你调用方法后打印出字符串,甚至在你抛出异常的时候做业务逻辑的操作。过滤器:是在javaweb中,你传入的request、response提前过滤掉一些信息,或者提前设置一些参数,然后再传入serv...
C#MySQL 参数化查询防止SQL注入
一只没有感情的AI机械猿
04-17 605
【代码】C#MySQL 参数化查询防止SQL注入
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
mysql注入模糊_模糊查询-动态参数,SQL注入
weixin_42131443的博客
01-19 228
Centos6&period;6下安装MySQL5&period;61.先查看本机上已经安装的MySQL rpm –qa | grep -i mysql 如果存在信息说明已经安装MySQL 需要完全卸载以前的MySQL yum remove mysql mysql-s ...JAVA元运算符,一元运算符,二元运算符,三元运算符一元运算符: 序号 一元运算符 说明 1 i++ 给i加...
java实现mysql拦截_在mybatis执行SQL语句之前进行拦击处理实例
weixin_35273106的博客
03-08 1036
比较适用于在分页时候进行拦截。对分页的SQL语句通过封装处理,处理成不同的分页sql。实用性比较强。import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;import java.util.List;import java....
MySql驱动问题
zhibin_li的专栏
01-28 475
 MySql带有两个驱动 一个是org目录下 一个是com目录下这两天在用时发现了个区别 不知道是对否 反正这样弄在我这是对的 至于理论上有什么区别 还待以后进一步了解之两个驱动的目录分别为:org.gjt.mm.mysql.Driver和com.mysql.jdbc.Driver 其实两者都可以用 不同的时 我在做测试时 如果用前一个驱动 必须在加载驱动的时候取得一个实例对象 就是C
mybatis如何防止SQL注入
01-05
### MyBatis如何防止SQL注入 #### SQL注入简介与危害 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过提交恶意的SQL代码到应用程序的输入字段中(如表单、URL等),利用这些输入来操控数据库执行非预期的...
golang防止MySQL注入_Mysql读写分离+防止sql注入攻击「GO源码剖析」
weixin_32900811的博客
01-19 1252
一、读写分离和防止sql注入的必要性(foreword)1、 读写分离:一句话定义:读写分离,基本的原理是让主数据库处理事务性增、改、删操作(INSERT、UPDATE、DELETE),而从数据库处理SELECT查询操作。数据库复制被用来把事务性操作导致的变更同步到集群中的从数据库。图1-1 主从读写分离示意图读写分离的好处:(1) 增加冗余(2) 增加了机器的处理能力(3) 对于读操作为主的应用...
nginxmysql注入_nginx的安全之通过nginx+lua的waf火墙sql注入和cc攻击
weixin_36314729的博客
01-29 520
2.测试页面准备:登陆页面html[root@node1 code]#cat /opt/app/code/login.htmljeson sql注入演示用户名:密码验证页面validate.php[root@node1 code]#cat /opt/app/code/validate.php
openresty 防止sql注入
weixin_43931625的博客
07-13 560
openresty 防止sql注入
360浏览器拦截代码
09-22
360浏览器拦截代码
SSM+拦截器+Mysql基础性框架(适合新手研究)
08-28
SSM+拦截器+Mysql基础性框架(适合新手研究)
Java项目防止SQL注入的四种方案
良月柒
08-25 232
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 2.8 分钟。来自:blog.csdn.net/weixin_42675423/article/details/129298701一、什么是SQL注入SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非...
Nginx 防止SQL注入、XSS攻击的实践配置方法
justlpf的专栏
01-03 2213
参考文章:Nginx 防止SQL注入、XSS攻击的实践配置方法 将下面的Nginx配置文件代码放入到对应站点的.conf配置文件[server]里,然后重启Nginx即可生效。 if ($request_method !~* GET|POST) { return 444; } #使用444错误代码可以更加减轻服务器负载压力。 #防止SQL注入 if ($query_string ~*...
微信域名拦截技术介绍
聚名网
02-14 1067
相信微信拦截域名的情况也是很多站长经常遇到的事情,那么你知道你的域名在微信为什么会被封和拦截呢?微信屏蔽域名的原理是是什么?如何才能做到域名屏蔽拦截呢?
配置MyBatis SQL拦截器 Interceptor
qq_16183731的博客
01-22 4086
自定义拦截器实现接口Interceptor: package com.feifan.interceptor; import java.util.Properties; import org.apache.ibatis.executor.Executor; import org.apache.ibatis.mapping.BoundSql; import org.apache.ibatis.ma...
转载【Mybatis】Mybatis SQL Interceptor Interceptor 拦截器打印完整的SQL语句
qq_42718938的博客
06-06 755
Mybatis SQL Interceptor Interceptor 拦截器打印完整的SQL语句
MybatisPlusInterceptor实现sql拦截器(超详细)
热门推荐
a17331003724的博客
04-07 1万+
2 . 配置下MybatisPlus的yml。5 . MybatisPlus的config。成功实现sql拦截并进行拼接。
航空公司客户满意度数据转换与预测分析Power BI案例研究
最新发布
11-16
内容概要:本文档介绍了航空公司的业务分析案例研究,涵盖两个主要部分:a) 使用SSIS进行数据转换,b) 利用RapidMiner进行预测分析。这两个任务旨在通过改善客户满意度来优化业务运营。数据来源包括多个CSV文件,如flight_1.csv、flight_2.csv、type.csv、customer.csv 和 address.csv。第一部分要求学生创建事实表、客户维度表和时间维度表,并描述整个数据转换流程。第二部分则需要利用RapidMiner开发两种不同的模型(如决策树和逻辑回归)来预测客户满意度,并完成详细的报告,其中包括执行摘要、预测分析过程、重要变量解释、分类结果、改进建议和伦理问题讨论。 适合人群:适用于对数据科学和商业分析有一定基础的学生或专业人士。 使用场景及目标:本案例研究用于教学和评估,帮助学员掌握数据转换和预测建模的技术方法,提高客户满意度和业务绩效。目标是通过实际操作加深对相关工具和技术的理解,并能够将其应用于实际业务中。 其他说明:此作业占总评的40%,截止时间为2024年10月25日16:00。
mysql如何防止sql注入
08-22
MySQL可以通过以下几种方法来防止SQL注入攻击: 1. 使用参数化查询或预编译语句:使用参数化查询或预编译语句可以将用户输入的值与SQL语句分离开来,从而避免了将用户输入直接拼接到SQL语句中的风险。 2. 输入验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值