基于springboot的sql防注入过滤器

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量1.4k 收藏 23
点赞数 22
文章标签: spring boot sql 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42023748/article/details/135429350
版权
本文介绍了SQL注入的概念,以及如何在SpringBoot应用中通过创建一个SqlFilter类实现SQL防注入过滤器,通过检查请求参数中的敏感字符来保护应用程序免受攻击。
摘要由CSDN通过智能技术生成

目录

回到顶部

何为SQL注入

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

举例:

select * from login_user where username = ? and password = ?

假如这是一个用户登录时的查询语句。 

如果没有sql防注入措施,那么当攻击者输入 '' or 1 = 1 时,username =  '' or 1 = 1 ,这条查询语句必然会通过,导致攻击者可以随意登录。

回到顶部

基于springboot的sql防注入过滤器

我们可以通过构建一个过滤器,过滤每个消息,如果消息是那种敏感词汇,则过滤掉。

第一步:

新建一个SqlFilter类实现Filter接口,相应地实现Filter接口的三个方法。

 第二步:

在SqlFilter类上添加两个注解:@WebFilter   @Configuration

@WebFilter(urlPatterns = "/*",filterName = "sqlFilter") :

    urlPatterns:表示过滤的范围," /* "表示过滤所有请求路径,"/project/user/login" 则表示过滤http://localhost:8080/project/user/login这个路径的请求。

    filterName:表示这个过滤器的名称

@Configuration:表明当前类是一个配置类。              

 第三步:

在springboot启动类上增加一个注解:

@ServletComponentScan()

    basePackages:过滤器的路径。

 第四步:

编写过滤条件:在SqlFilter类继承自Filter接口的doFilter方法中编写过滤条件。

 @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        ServletRequest request = servletRequest;
        ServletResponse response = servletResponse;
        //获得所有请求参数名
        Enumeration<String> names = request.getParameterNames();
        String sql = "";
        while (names.hasMoreElements()){
            //得到参数名
            String name = names.nextElement().toString();
            //得到参数对应值
            String[] values = request.getParameterValues(name);
            for (int i = 0; i < values.length; i++) {
                sql += values[i];
            }
        }
        if (sqlValidate(sql)){
            throw new IOException("您发送请求中的参数中含有非法字符");
        } else {
            filterChain.doFilter(request,response);
        }
    }

    //效验
    protected static boolean sqlValidate(String str){
        String s = str.toLowerCase();//统一转为小写
        String badStr =
                "select|update|and|or|delete|insert|truncate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute|table|"+
                "char|declare|sitename|xp_cmdshell|like|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|order|by|" +
                "'\\*|\\;|\\-|\\--|\\+|\\,|\\//|\\/|\\%|\\#";//过滤掉的sql关键字,特殊字符前面需要加\\进行转义
        //使用正则表达式进行匹配
        boolean matches = s.matches(badStr);
        return matches;
}

自此,一个sql防注入过滤器就完成了。

源码:

package com.kingpoint.kingstd.common.utils;

import org.springframework.context.annotation.Configuration;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;
import java.util.Enumeration;


/**
 * @Author chenzhanfan
 * @Date 2021/7/19
 * @Description  sql防注入过滤器
 */
@WebFilter(urlPatterns = "/*",filterName = "sqlFilter")
@Configuration
public class SqlFilter implements Filter {


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        ServletRequest request = servletRequest;
        ServletResponse response = servletResponse;
        //获得所有请求参数名
        Enumeration<String> names = request.getParameterNames();
        String sql = "";
        while (names.hasMoreElements()){
            //得到参数名
            String name = names.nextElement().toString();
            //得到参数对应值
            String[] values = request.getParameterValues(name);
            for (int i = 0; i < values.length; i++) {
                sql += values[i];
            }
        }
        if (sqlValidate(sql)){
            throw new IOException("您发送请求中的参数中含有非法字符");
        } else {
            filterChain.doFilter(request,response);
        }
    }

    //效验
    protected static boolean sqlValidate(String str){
        String s = str.toLowerCase();//统一转为小写
        String badStr =
                "select|update|and|or|delete|insert|truncate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute|table|"+
                "char|declare|sitename|xp_cmdshell|like|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|order|by|" +
                "'\\*|\\;|\\-|\\--|\\+|\\,|\\//|\\/|\\%|\\#";//过滤掉的sql关键字,特殊字符前面需要加\\进行转义
        //使用正则表达式进行匹配
        boolean matches = s.matches(badStr);
        return matches;
}

    @Override
    public void destroy() {

    }
}

                

        

        

    




            

                    
            

    

      

        

            

              
                
                  高级盘丝洞
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    22
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    23
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
springbootsql注入 & sql攻击

				
			

			

				

					jancislo的博客
				

				

					06-28
					
					1万+
					
				

			

		

		

			
				
1.编写  XssHttpServletRequestWrapperimport javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletReque...

			
		

	



                

              
                



	

		

			

				
					
java web Xss及sql注入过滤器.zip

				
			

			

				

					04-22
				

			

		

		

			
				
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。  XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...

			
		

	



                


  
              

                


	

		

			

				
					
springboot自带filter实现sql注入过滤器

				
			

			

				

					leveretz的博客
				

				

					12-29
					
					2449
					
				

			

		

		

			
				
springboot自带filter实现sql注入过滤器

			
		

	





	

		

			

				
					
SpringBoot中如何止XSS攻击和sql注入

					
最新发布

				
			

			

				

					2302_77596945的博客
				

				

					05-23
					
					513
					
				

			

		

		

			
				
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。

			
		

	



		

			
		



	

		

			

				
					
Springboot集成sql注入设置

				
			

			

				

					hao_kkkkk的专栏
				

				

					10-21
					
					3081
					
				

			

		

		

			
				
sql注入 安全开发 springboot

			
		

	





	

		

			

				
					
基于springboot实现SQL注入过滤器

				
			

			

				

					zhangbeizhen18的博客
				

				

					06-11
					
					2741
					
				

			

		

		

			
				
记录:273 场景:以过滤器(Filter)的方式,对所有http请求的入参拦截,使用正则表达式匹配入参中的字符串。存在SQL注入风险的参数,中断请求,并立即返回提示信息。不存在SQL注入风险的参数,校验通过后,放入过滤器链,继续后续业务。......

			
		

	





	

		

			

				
					
SpringBoot 之  SpringMVC 实现SQL注入过滤 完整版(支持POST请求和GET请求)

				
			

			

				

					zhouzhiwengang的专栏
				

				

					09-19
					
					4497
					
				

			

		

		

			
				
首先请参考:SpringBoot 之 SpringMVC拦截器从Request中获取参数并解决request的请求流只能读取一次的问题

参考完上面的代码,现在开始编辑SQL注入拦截器,核心功能代码如下:


package com.digipower.erms.interceptor;

import java.io.BufferedReader;
import java.io.InputStr...

			
		

	





	

		

			

				
					
springbootsql注入过滤器研发踩坑总结 - HTTP请求的输入流只能读取一次导致的Required request body is missing异常的解决方案

				
			

			

				

					qq_41980872的博客
				

				

					07-18
					
					482
					
				

			

		

		

			
				
这篇文章总结了一次Sql注入过滤器开发过程中踩过的坑。包括HTTP请求的输入流只能读取一次导致的Required request body is missing异常的解决方案,以及以深度优先遍历方式获取JSON字符串中每一个字段的值的方式。积累经验,日拱一卒,希望能成为更好的自己~

			
		

	





	

		

			

				
					
XSS攻击和SQL注入XssFilter

				
			

			

				

					05-19
				

			

		

		

			
				
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的...三、过滤器配置 web.xml配置    XssFilter  com.xxx.Filter.XssFilter        XssFilter  /*

			
		

	





	

		

			

				
					
基于springboot协同过滤算法商品推荐系统.zip

				
			

			

				

					03-23
				

			

		

		

			
				
 考虑到用户数据的敏感性,系统应该具备安全护机制,如SQL注入、XSS攻击等,并且在处理用户数据时,遵循隐私保护原则,确保用户信息的安全。  本项目综合运用了多种技术,旨在构建一个高效、智能的商品推荐...

			
		

	





	

		

			

				
					
基于springboot数码论坛系统.zip

				
			

			

				

					03-21
				

			

		

		

			
				
同时,为了SQL注入和XSS攻击,还需要对输入数据进行校验和过滤。  总的来说,这个基于SpringBoot的数码论坛系统充分展示了Java Web开发的主流技术和实践,通过集成微信小程序,适应了移动互联网的发展趋势。对于...

			
		

	





	

		

			

				
					
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip

				
			

			

				

					02-09
				

			

		

		

			
				
 原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip

			
		

	





	

		

			

				
					
spring boot加入拦截器Interceptor过程解析

				
			

			

				

					08-25
				

			

		

		

			
				
主要介绍了spring boot加入拦截器Interceptor过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

			
		

	





	

		

			

				
					
Spring-MVC处理XSS、SQL注入攻击的方法总结

				
			

			

				

					11-14
				

			

		

		

			
				
Spring-MVC处理XSS、SQL注入攻击的方法总结

			
		

	





	

		

			

				
					
基于springboot家乡特色推荐系统.zip

				
			

			

				

					03-22
				

			

		

		

			
				
《基于SpringBoot的家乡特色推荐系统》  在当今数字化时代,个性化推荐系统已经成为了许多互联网应用的核心组成部分。本文将深入探讨一个基于SpringBoot框架构建的家乡特色推荐系统的设计与实现,该系统旨在为用户...

			
		

	





	

		

			

				
					
SpringBoot项目Sql注入拦截器

				
			

			

				

					qq_29991719的博客
				

				

					12-08
					
					1526
					
				

			

		

		

			
				
Sql注入拦截器

			
		

	





	

		

			

				
					
Springboot使用CrosXssFiltersql注入xss攻击cros跨域等

				
			

			

				

					冰之杍的博客
				

				

					12-07
					
					1244
					
				

			

		

		

			
				
Springboot使用CrosXssFiltersql注入xss攻击cros跨域等1.编写CrosXssFilter.java,代码如下2.在springbooot的启动类中加入注解@ServletComponentScan

现在的web系统对安全性要求越来越高,常常需要通过第三方的渗透测试才能进行验收,其中就有关于sql注入、xss攻击相关的,此文记录如果在springbooot中进行非侵入的改造,达到能通过sql注入及xss攻击测试的目的。
1.编写CrosXssFilter.java,代码如下

			
		

	





	

		

			

				
					
SQL注入原理以及Spring Boot如何SQL注入(含详细示例代码)

				
			

			

				

					a342874650的专栏
				

				

					12-29
					
					3421
					
				

			

		

		

			
				
SQL注入是一种针对数据库的攻击技术,攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而在数据库服务器上执行非授权的SQL查询。这种攻击可能导致数据泄露、数据篡改、甚至执行任意命令。

			
		

	





	

		

			

				
					
springboot自带filter实现sql注入过滤器,可以全路径也可以自己设置过滤路径,还可以在全路径的时候选择放行某些路径不过滤。

				
			

			

				

					qimingzhennan_to的博客
				

				

					08-15
					
					2628
					
				

			

		

		

			
				
springboot自带filter实现sql注入过滤器,可以全路径也可以自己设置过滤路径,还可以在全路径的时候选择放行某些路径不过滤。

			
		

	





	

		

			

				
					
springbootsql注入过滤器写法

				
			

			

				

					06-09
				

			

		

		

			
				
在Spring Boot中,可以使用`OncePerRequestFilter`类来实现SQL注入过滤器。以下是一个简单的过滤器示例:

```java
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class SqlInjectionFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String queryString = request.getQueryString();
        if (queryString != null && !queryString.isEmpty()) {
            String filteredQuery = SqlInjectionFilter.filter(queryString);
            request = new FilteredRequest(request, filteredQuery);
        }
        filterChain.doFilter(request, response);
    }

    private static String filter(String input) {
        // 进行SQL注入过滤,例如使用正则表达式
        String filteredInput = input.replaceAll(";", "");
        return filteredInput;
    }

    private static class FilteredRequest extends HttpServletRequestWrapper {
        private String filteredQuery;

        public FilteredRequest(HttpServletRequest request, String filteredQuery) {
            super(request);
            this.filteredQuery = filteredQuery;
        }

        @Override
        public String getQueryString() {
            return filteredQuery;
        }
    }
}
```

在上述示例中,`SqlInjectionFilter`继承了`OncePerRequestFilter`,并重写了`doFilterInternal`方法。在该方法中,首先获取请求中的查询字符串,然后对查询字符串进行过滤,将过滤后的查询字符串封装到`FilteredRequest`类中,并将该封装后的请求对象传递给过滤器链中的下一个过滤器。

在`filter`方法中,可以使用正则表达式等方式对查询字符串进行过滤,以SQL注入攻击。

最后,在`FilteredRequest`类中,重写了`getQueryString`方法,使得它返回过滤后的查询字符串。

需要注意的是,该示例仅仅是一个简单的SQL注入过滤器示例,实际情况下可能需要更加复杂的过滤逻辑。另外,在使用任何过滤器时,都需要仔细测试和验证,确保不会对系统产生不必要的影响。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值