java 防止sql xxs注入,StringEscapeUtils的常用使用,防止SQL注入及XSS注入

于 2021-03-19 08:08:42 发布
阅读量721 收藏 2
点赞数
文章标签: java 防止sql xxs注入

StringEscapeUtils类可以对html js xml sql 等代码进行转义来防止SQL注入及XSS注入

一、增加pom

commons-lang

commons-lang

2.6

二、简单使用

1.html脚本

escapeHtml转义html脚本

unescapeHtml反转义html脚本

System.out.println(StringEscapeUtils.escapeHtml("abc"));

System.out.println(StringEscapeUtils.unescapeHtml("<a>abc</a>"));

输出

<a>abc</a>

abc

2.js脚本

escapeJavaScript转义js脚本

unescapeJavaScript反转义js脚本

System.out.println(StringEscapeUtils.escapeJavaScript("

System.out.println(StringEscapeUtils.unescapeJavaScript("

输出

3.字符串Unicode

escapeJava转义成Unicode编码

unescapeJava反转义成Unicode编码

System.out.println(StringEscapeUtils.escapeJava("你好"));

System.out.println(StringEscapeUtils.unescapeJava("\u4F60\u597D"));

输出

\u4F60\u597D

你好

4.xml

escapeXML转义XML

unescapeXML反转义XML

System.out.println(StringEscapeUtils.escapeXml("贝贝"));

System.out.println(StringEscapeUtils.unescapeXml("<name>贝贝</name>"));

输出

<name>贝贝</name>

贝贝

5.sql

escapeSql sql转义,防止sql注入攻击

转义后

StringBuffer sql = new StringBuffer("select * from users where 1=1 ");

String keyWord="aaa' or '1=1";

if(!keyWord.isEmpty()){

sql.append(" and username like '%" + StringEscapeUtils.escapeSql(keyWord) + "'");

}

System.out.println(sql);

输出

select * from users where 1=1 and username like '%aaa'' or ''1=1'

StringEscapeUtils.escapeSql会将1个'转成2个'.

不进行转义的,会查出全部用户

select * from users where 1=1 and username like '%aaa' or '1=1'

weixin_39659748
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
慎用StringEscapeUtils.escapeHtml方法【转】
五谷杂粮
07-01 2592
推荐使用Apache commons-lang的StringUtils来增强Java字符串处理功能,也一直在项目中大量使用StringUtils和StringEscapeUtils这两个实用类。 最近在数据库里发现某个表的内容全都成了HTML entity表示,中文也全被转换成了”&amp;#25105;”这样的格式,而在页面上显示一切正常。最终发现造成这个后果的原因是在将字符串保存到数据库之前...
SpringCloud 使用Zuul防止xss攻击和sql注入
Alone5256的博客
04-15 3294
SpringCloud -ZUULSpringCloud 使用Zuul防止xss攻击和sql注入导入zuul的jar包编写一个过滤器SqLinjectionFilter,继承ZuulFilter SpringCloud 使用Zuul防止xss攻击和sql注入 导入zuul的jar包 <!--zuul--> <dependency> ...
escape.sql
02-23
escape.sql
StringEscapeUtils.escapeSql
jceator123的博客
01-10 3920
apache的StringEscapeUtils类,可以转义html,javascrip,SQL,xml,java中特殊字符.特别是SQL,省了被人SQL注入了,来用个单引号试试:String str = "'";System.out.println(str);System.out.println(StringEscapeUtils.escapeSql(str));结果:'''//变成两个单引号了...
javasql注入 转义_StringEscapeUtils常用使用防止SQL注入XSS注入
weixin_30774211的博客
02-26 1737
引入common-lang-2.4.jar中一个方便做转义的工具类,主要是为了防止sql注入xss注入攻击的功能官方参考文档StringEscapeUtils.unescapeHtml(sname)1.escapeSql 提供sql转移功能,防止sql注入攻击,例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffer("select...
StringEscapeUtils常用使用防止SQL注入XSS注入
热门推荐
小狮王的专栏
10-20 2万+
引入common-lang-2.4.jar中 一个方便做转义的工具类,主要是为了防止sql注入xss注入攻击的功能 官方参考文档 StringEscapeUtils.unescapeHtml(sname) 1.escapeSql 提供sql转移功能,防止sql注入攻击, 例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffe
Hibernate使用防止SQL注入的几种方案
01-20
- 使用预编译的PreparedStatement,即使在没有使用Hibernate的情况下,这也是防止SQL注入的推荐方式。 - 对用户输入进行验证和清理,限制输入长度,禁止特定字符,如单引号、分号等。 - 使用最新的数据库驱动和...
java防止xss注入
07-15
**Java防止XSS注入详解** XSS(Cross-site scripting)是一种常见的网络安全漏洞,攻击者通过在网页中嵌入恶意脚本,使用户在不知情的情况下执行这些脚本,从而窃取用户信息或进行其他恶意操作。Java作为广泛应用于...
javasql注入攻击过滤器
08-09
为了防止此类攻击,开发者通常会使用一种称为“SQL注入过滤器”的机制。本篇文章将深入探讨如何在Java中实现一个防SQL注入的过滤器,以及它的重要性。 SQL注入的原理是利用应用程序处理用户输入数据时的不足,将...
StringEscapeUtils
天道酬勤
01-16 2396
org.apache.commons.lang.StringEscapeUtils 类可以对js sql html xml等代码进行转义!用来处理前端js注入代码 SQL特殊字符转义   应该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安...
java mysql escape_慎用StringEscapeUtils.escapeHtml方法
weixin_34305091的博客
02-01 330
慎用StringEscapeUtils.escapeHtml方法推荐使用Apache commons-lang的StringUtils来增强Java字符串处理功能,也一直在项目中大量使用StringUtils和StringEscapeUtils这两个实用类。最近在数据库里发现某个表的内容全都成了HTML entity表示,中文也全被转换成了”我”这样的格式,而在页面上显示一切正常。最终发现造成这个...
java mysql 注入攻击_StringEscapeUtils常用使用防止SQL注入XSS注入
weixin_42509815的博客
01-27 411
引入common-lang-2.4.jar中一个方便做转义的工具类,主要是为了防止sql注入xss注入攻击的功能官方参考文档StringEscapeUtils.unescapeHtml(sname)1.escapeSql 提供sql转移功能,防止sql注入攻击,例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffer("select...
使用apache.commons.lang3.StringEscapeUtils 过滤'<' '>' '&' 字符注入,防御恶意HTML注入攻击
江湖小虾米
07-07 1万+
跨站脚本XSS又叫CSS (Cross Site Script)。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的,例如:获取受害者的会话标识以冒充受害者访问系统(具有受害者的权限),还能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。
java escape html_慎用StringEscapeUtils.escapeHtml方法【转】
weixin_35218304的博客
02-19 2034
推荐使用Apache commons-lang的StringUtils来增强Java字符串处理功能,也一直在项目中大量使用StringUtils和StringEscapeUtils这两个实用类。最近在数据库里发现某个表的内容全都成了HTML entity表示,中文也全被转换成了”我”这样的格式,而在页面上显示一切正常。最终发现造成这个后果的原因是在将字符串保存到 数据库之前,用StringEsca...
StringEscapeUtils.unescapeHtml的使用
weixin_33918114的博客
09-07 1732
在做代码高亮时,从数据库中取出代码如下(节选): &amp;lt;pre class=&amp;quot;brush: java;&amp;quot;&amp;gt; 需要的应该是 &lt;pre class=\"brush: java;\"&gt; 这样才能解析代码~ 所以需要StringEscapeUtils类进行转义与反转义 此处使用的是commons-lang...
apache-commons-lang StringEscapeUtilsSQL、HTML、XML、JavaScript、Java 特殊字符的转义和还原
王星乐的博客
11-21 1110
应该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安全问题。网络中有大量讲解 SQL 注入的文章,感兴趣的读者可以搜索相关的资料深入研究。 虽然 SQL 注入的后果很严重,但是只要对动态构造的 SQL 语句的变量进行特殊字符转义处理,就可以
防止SQL注入的工具类
hit、run
09-23 2086
package com.yxb.common.base.util; import org.apache.commons.lang.StringUtils; /** * SQL过滤 */ public class SQLFilter { /** * SQL注入过滤 * @param str 待验证的字符串 * @throws */ ...
StringEscapeUtils防止sql注入
willvip的专栏
12-29 627
调用org.apache.commons.lang.StringEscapeUtils.escapeSqlString str)方法可以将str里边的特殊字符转换,避免sql注入
java注入代码_JAVA防止SQL注入攻击类的源代码
weixin_39878989的博客
02-18 328
JAVA-字符串过滤类package cn.com.hbivt.util;/*** Title: ** Description: ** Copyright: Copyright (c) 2005** Company: ** @author not attributable* @version 1.0*/public class StringUtils {//过滤通过页面表单提交的字符private...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值