servlet获取jsp页面的值为null_Jsp挖掘(4)-打造自己的jsp防御代码

于 2020-12-16 06:18:42 发布
阅读量131 收藏
点赞数
文章标签: servlet获取jsp页面的值为null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39929961/article/details/111585938
版权

1a0aedca08a46a155b50d808915887da.png

打造自己的jsp防御代码

一、需要准备JDK环境

编译.java文件成.class文件

https://www.oracle.com/technetwork/java/javase/downloads/index.html

5e0887fce5fac90c5d211b053a11c9ea.png

需要javac编译

0da91a95f376a7e6e009de6d1bc3c13b.png

javac -target 1.4 -source 1.4 -classpath servlet-api.jar urlfilter.java

二、实际设置

设置一个全局的过滤器,通过web.xml添加filter过滤器

名称:Url中注入过滤器

功能:可以过滤,导向到错误页,防止代码泄漏

需要的设置:Web.Xml文件中需要进行如下设置

* <filter> * <filter-name>urlfilter</filter-name> * <filter-class>Safe3conn.urlfilter</filter-class> * </filter> * * <filter-mapping> * <filter-name>urlfilter</filter-name> * <url-pattern>/*</url-pattern> * </filter-mapping>

编译后的class文件要放在WEB-INFclassesSafe3conn文件夹下,改变Web.xml文件后需要重启Tomcat服务器

package Safe3conn; import java.io.*; import javax.servlet.*; import javax.servlet.http.*; import java.util.*; import java.lang.String.*; import java.lang.*; public class urlfilter extends HttpServlet implements Filter { public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException { HttpServletRequest req = (HttpServletRequest)request; HttpServletResponse res = (HttpServletResponse)response; String url1=(String)((HttpServletRequest)request).getQueryString(); //GET提交过滤(注:可自行添加POST和Cookie过滤) if(url1==null||!sql_inj(url1)) { chain.doFilter(request,response); } else{ res.sendRedirect(req.getContextPath()+"/err.jsp"); //设置转向的错误页面 } } //过滤函数 public static boolean sql_inj(String str) { String inj_str ="' and exec insert select delete update count * % chr mid master truncate char declare ; or - + ,"; String inj_stra[] = inj_str.split(" "); for (int i=0 ; i < inj_stra.length ; i++ ) { if (str.indexOf(inj_stra[i])>=0) { return true; } } return false; } //过滤结束 public void init(FilterConfig config) throws ServletException {} public void destroy() {} }

编译:javac urlfilter.java 出现错误

7d79d880071f464610ac5a3eee0ba8d9.png

主要是缺少:servlet-api.jar

4d50d02f8809f4b933b36889d811afcd.png

成功编译:

javac -target 1.4 -source 1.4 -classpath servlet-api.jar urlfilter.java

2bea10b6a1922714e5bc2e870489ef60.png

还需要一个web.xm文件(一般web页面会有这个,只需要添加filter对应的地方)

<?xml version="1.0" encoding="ISO-8859-1"?> <web-app> <filter> <filter-name>sqlfilter</filter-name> <filter-class>Safe3conn.urlfilter</filter-class> </filter> <filter-mapping> <filter-name>sqlfilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> </web-app>

最后需要把class文件放到WEB-INFO

7363425212291b21059abd5343a38a17.png

就是在class的添加Safe3conn/urlfilter.class

126b7fd0178386141d339d1c85a11995.png

web.xml的相关的关联urlfilter的这个类

492390291c9420fd4b0872fa59c6f822.png

重新启动

2888fe967bdb3554724f9ed7b16b7764.png

主要是过滤这些字段:

String inj_str ="' and exec insert select delete update count * % chr mid master truncate char declare ; or - + ,";

057eaae007db76dad19bb3e4b8a50c9f.png

提交有含有上面过滤的参数就跳转err.jsp

8f4a062fd11df1176c06fc27fcf6acd0.png

这个是sql的防御,XSS的防御相似。

三、总结

主要是java的编译,还有fileter的web.xml的添加。

过滤全局的函数编写,

​公众号:

0626d1ffc296ca338a8e22f6cb0d72cc.png

thelostworld:

630711147c97746a7ae009b89e1da3b8.png

个人知乎​:https://www.zhihu.com/people/fu-wei-43-69/columns

​个人简书:https://www.jianshu.com/u/bf0e38a8d400

weixin_39929961
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oracleSelect.rar_Jsp/Servlet_SQL_
08-11
JSPServlet中执行SQL查询通常涉及到以下步骤:建立数据库连接,创建Statement或PreparedStatement对象,编写SQL查询,执行查询并获取结果集,然后遍历结果集并在页面上展示数据。如果涉及到分页查询,那么可能...
JSP-mysql.zip_JSP+Mysql_jsp mysql
09-20
4. **代码分离**:尽量将业务逻辑和数据库操作封装在JavaBeans或Servlet中,保持JSP页面简洁。 综上所述,JSP与MySQL的结合使得开发者能够轻松地创建动态、交互式的Web应用程序。通过理解并掌握上述步骤和最佳实践...
bug君你好啊之servlet页面读取jsp的url的显示为null
墨浅
12-19 1216
在form表单提交URL中传递参数
servlet获取jsp中的空问题
追梦
11-23 1760
如果request.getparameter(“”)获取到了传过来的空,则会是个空字符串。如果没有接受到这个的话就会是null类型。
input框中的name和id的区别
weixin_42202257的博客
04-27 1119
可以说几乎每个做过Web开发的人都问过,到底元素的ID和Name有什么区别阿?为什么有了ID还要有Name呢?! 而同样我们也可以得到最classical的答案:ID就像是一个人的身份证号码,而Name就像是他的名字,ID显然是唯一的,而Name是可以重复的。 上周我也遇到了ID和Name的问题,在页面里输入了一个input type=“hidden”,只写了一个ID=‘SliceInfo’...
JSP中关于servlet中request.getParameter得到null的问题的几个可能
x-nn的博客
07-06 2517
本文针对的是jsp中form表单提交后servlet获取null的情况 可能性一:jsp中需要输入的input标签中没设name属性 正确例如: <input name="password" value="${user.password}" class="textinput" /> 因为表单提交后,如果想用servlet中request.Parameter()来获取,那么配套的是input中的name的而不是id的 value对于这有没有都是可以的。 可能性二:form中的actio
JSP-document.rar_投票 jsp
09-23
%>` 用于声明变量或方法,这些内容在JSP转换为Servlet时被提升到Servlet类的顶级。例如: ```jsp ! int calculateTotalVotes() { // 一些计算逻辑 } %> ``` **JSP指令(Directives)** JSP提供了几种类型的...
1020_javajdbc.zip_Jsp/Servlet_Java_
08-12
在本项目"1020_javajdbc.zip"中,我们将探讨如何使用JDBC连接到数据库,以及JspServlet在Java Web开发中的应用。 首先,JDBC提供了一个统一的API,让开发者可以使用相同的代码来访问各种不同类型的数据库,如...
jsp 文件管理器.rar_jsp_jsp 文件_jsp文件_文件管理
09-21
1. **Servlet容器**:JSP文件管理器运行在Servlet容器(如Tomcat、Jetty)中,容器负责将JSP页面转换为Servlet并处理HTTP请求。 2. **MVC模式**:Model-View-Controller架构可以帮助组织代码,模型处理数据,视图...
jsp页面el表达式null处理
淮右布衣的博客
05-13 1673
// 不为null时 <c:if test=" ${not empty item.postId }"> </c:if> // null时 <c:if test=" ${empty item.postId }"> </c:if>
JSP跳转传参时参数为null的处理
北京Java青年
06-13 8103
以下为JSP页面:<a href="index.jsp?tid=<%=ntidSS %>&page_no=<%=nextPage%>">下一页  </a>一旦tid为空(null),点击“下一页”,url地址会变成:http://localhost:8080/xxx/index.jsp?tid=null&page_no=2;由于tid是作为JSP页面URL参数传的,所以requ
解决Jsp获取本页面表单提交null的方法
哈哈哈
05-28 6293
今天博主遇到一个小问题,在本页面进行form表单提交时,获取的参数null。 抛出问题 ​ 不多说,看代码: <form action="${pageContext.request.contextPath}/test/money01.jsp" method="post"> 应付款:<input type="text" name="pay"> <br> 实际付款:<input type="text" name="actuallyPay"&
jsp注册页面java代码_使用ServletJSP实现用户注册功能
最新发布
06-11
3. 登录页面(login.jsp) ``` ; charset=UTF-8" pageEncoding="UTF-8"%> <!DOCTYPE html> <meta charset="UTF-8"> 用户登录页面 用户登录 用户名:<input type="text" name="username" /></p> 密码:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值