mysql查询防拦截_防止sql注入拦截

最新推荐文章于 2023-08-25 00:03:00 发布
最新推荐文章于 2023-08-25 00:03:00 发布
阅读量305 收藏
点赞数
文章标签: mysql查询防拦截
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39641257/article/details/113716621
版权

packagecom.booway.pwbzh.util;importjava.util.Enumeration;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax.servlet.ServletException;importjavax.servlet.ServletRequest;importjavax.servlet.ServletResponse;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletResponse;/*** sql注入攻击拦截

*@authors*/

public class SqlInjectFilter implementsFilter

{

FilterConfig filterConfig= null;/*** 初始化

*@paramfilterConfig filterConfig

*@throwsServletException 异常*/

public void init(FilterConfig filterConfig) throwsServletException

{this.filterConfig =filterConfig;

}public voiddestroy()

{this.filterConfig = null;

}public voiddoFilter(ServletRequest request, ServletResponse response, FilterChain chain)

{

HttpServletRequest req=(HttpServletRequest) request;

HttpServletResponse res=(HttpServletResponse) response;try{//获得所有请求参数名

Enumeration params =req.getParameterNames();

String sql= "";while(params.hasMoreElements())

{//得到参数名

String name =params.nextElement().toString();//得到参数对应值

String[] value =req.getParameterValues(name);for (int i = 0; i < value.length; i++)

{

sql= sql +value[i];

}

}//截取我要拦截的字段

sql =getfilte(sql);//有sql关键字,跳转到error.html

if(sqlValidate(sql))

{

res.setHeader("SESSIONSTATUS", "TIMEOUT");

res.setHeader("CONTEXTPATH", req.getContextPath() + "/pwbzh_module/500.jsp");

res.setStatus(HttpServletResponse.SC_FORBIDDEN);return;//throw new IOException("您发送请求中的参数中含有非法字符");

}

chain.doFilter(request, response);

}catch(Exception e)

{

e.printStackTrace();

}

}//效验

protected static booleansqlValidate(String str)

{

str= str.toLowerCase();//统一转为小写

String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" + "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" + "table|from|grant|use|group_concat|column_name|" + "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" + "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字,可以手动添加

String[] badStrs = badStr.split("\\|");for (int i = 0; i < badStrs.length; i++)

{//循环检测,判断在请求参数当中是否包含SQL关键字

if (str.indexOf(badStrs[i]) >= 0)

{return true;

}

}return false;

}//截取需要拦截的字段

protected staticString getfilte(String str)

{int idex = str.indexOf("filter");

String ss= "";if (idex < 0)

{returnss;

}if (str.indexOf(",", idex) < 0)

{

ss=str.substring(idex, str.length());

}else{

ss= str.substring(idex, str.indexOf(",", idex));

}returnss;

}

}

weixin_39641257
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql拦截器实现crud_CRUD工程师---拦截器的使用
weixin_30468419的博客
02-08 231
拦截器:是在面向切面编程的就是在你的service或者一个方法,前调用一个方法,或者在方法后调用一个方法比如动态代理就是拦截器的简单实现,在你调用方法前打印出字符串(或者做其它业务逻辑的操作),也可以在你调用方法后打印出字符串,甚至在你抛出异常的时候做业务逻辑的操作。过滤器:是在javaweb中,你传入的request、response提前过滤掉一些信息,或者提前设置一些参数,然后再传入serv...
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
mysql注入模糊_模糊查询-动态参数,SQL注入
weixin_42131443的博客
01-19 206
Centos6&period;6下安装MySQL5&period;61.先查看本机上已经安装的MySQL rpm –qa | grep -i mysql 如果存在信息说明已经安装MySQL 需要完全卸载以前的MySQL yum remove mysql mysql-s ...JAVA元运算符,一元运算符,二元运算符,三元运算符一元运算符: 序号 一元运算符 说明 1 i++ 给i加...
java实现mysql拦截_在mybatis执行SQL语句之前进行拦击处理实例
weixin_35273106的博客
03-08 954
比较适用于在分页时候进行拦截。对分页的SQL语句通过封装处理,处理成不同的分页sql。实用性比较强。import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;import java.util.List;import java....
MySql驱动问题
zhibin_li的专栏
01-28 428
 MySql带有两个驱动 一个是org目录下 一个是com目录下这两天在用时发现了个区别 不知道是对否 反正这样弄在我这是对的 至于理论上有什么区别 还待以后进一步了解之两个驱动的目录分别为:org.gjt.mm.mysql.Driver和com.mysql.jdbc.Driver 其实两者都可以用 不同的时 我在做测试时 如果用前一个驱动 必须在加载驱动的时候取得一个实例对象 就是C
自定义注解实现拦截sql.rar
10-08
自定义注解实现拦截sql,并在sql中增加相应的条件 。 对应博客: https://blog.csdn.net/qq_37716298/article/details/120659139
php addslashes和mysql_real_escape_string
12-17
很好的说明了addslashes和mysql_real_escape_string的区别,虽然国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27...
SpringMVC+Mybatis+Mysql+权限+拦截器的整合实例 源码程序
02-01
SpringMVC+Mybatis+Mysql+权限+拦截器的整合实例,有sql文件,同时还有一些实用的工具类.
360浏览器拦截代码
09-22
360浏览器拦截代码
SSM+拦截器+Mysql基础性框架(适合新手研究)
08-28
SSM+拦截器+Mysql基础性框架(适合新手研究)
Java项目防止SQL注入的四种方案
最新发布
良月柒
08-25 211
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 2.8 分钟。来自:blog.csdn.net/weixin_42675423/article/details/129298701一、什么是SQL注入SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非...
微信域名拦截技术介绍
聚名网
02-14 1032
相信微信拦截域名的情况也是很多站长经常遇到的事情,那么你知道你的域名在微信为什么会被封和拦截呢?微信屏蔽域名的原理是是什么?如何才能做到域名屏蔽拦截呢?
配置MyBatis SQL拦截器 Interceptor
qq_16183731的博客
01-22 4017
自定义拦截器实现接口Interceptor: package com.feifan.interceptor; import java.util.Properties; import org.apache.ibatis.executor.Executor; import org.apache.ibatis.mapping.BoundSql; import org.apache.ibatis.ma...
转载【Mybatis】Mybatis SQL Interceptor Interceptor 拦截器打印完整的SQL语句
qq_42718938的博客
06-06 686
Mybatis SQL Interceptor Interceptor 拦截器打印完整的SQL语句
com.mysql.jdbc.SQLError.<clinit>(SQLError.java:137)报错
蜗牛专栏
08-15 2028
使用ant工具编译时 Exception in thread "main" java.lang.ExceptionInInitializerError at com.mysql.jdbc.SQLError.(SQLError.java:137) at com.mysql.jdbc.MysqlIO.scanForAndThrowDataTruncation(MysqlIO.java:3102) a
MybatisPlusInterceptor实现sql拦截器(超详细)
a17331003724的博客
04-07 1万+
2 . 配置下MybatisPlus的yml。5 . MybatisPlus的config。成功实现sql拦截并进行拼接。
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
【测试人生】SQL变更的问题拦截手段
HiKariのTechLab
07-08 940
在DB做变更发布的各类场景当中,通过SQL更改DB数据内容,是最为常见的场景。既然是最为常见的场景,那么可能产生线上问题的概率也就越大。本篇文章就来探讨一下,要尽量减少SQL发布产生线上问题的可能性,需要采取什么样的手段。
mysql如何防止sql注入
08-22
MySQL可以通过以下几种方法来防止SQL注入攻击: 1. 使用参数化查询或预编译语句:使用参数化查询或预编译语句可以将用户输入的值与SQL语句分离开来,从而避免了将用户输入直接拼接到SQL语句中的风险。 2. 输入验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值