java sql注入包_SQL注入漏洞-Java

最新推荐文章于 2022-08-27 21:40:48 发布
最新推荐文章于 2022-08-27 21:40:48 发布
阅读量185 收藏
点赞数
文章标签: java sql注入包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42160278/article/details/114557994
版权

这个是常见的漏洞了,相信大家都不会陌生,直接上解决该漏洞的代码

package com.ifan.soft.filter;

import java.io.IOException;

import java.text.SimpleDateFormat;

import java.util.Date;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import org.apache.log4j.Logger;

/**

* 关注博主,获取更多解决漏洞的办法

* @author fan'fan

*

*/

public class MyFilter implements Filter {

private static SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");

private static final Logger log = Logger.getLogger(MyFilter.class);

/**

*关注博主,获取更多解决漏洞的办法

*/

public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest request = (HttpServletRequest)req;

String url = request.getRequestURI();

log.info("---当前URL:" + url + "--当前时间" + sdf.format(new Date()));

String[] strings = {//根据需要来定义

"from","count","chr","master","truncate","declare","drop","all","all",

"and","AND","MASTER","COUNT","FROM","DROP","order","to","TO","ALL","alter","ALTER",

"OR","or","select","DECLARE","EXEC","ORDER","in","IN","on","ON",

"SELECT","UPDATE","TRUNCATE","exec","GROUP","HAVING","DELETE","like","LIKE",

"delete","update","insert","group","having","","^","*","\'","!"," ","-","@","$","#",

"(",")","_","~","`","{","}","[","]","\"","|","?",",","。","《","》","(",")","!",

"、","——",";","‘","¥","’","【","】",":","&"

};

for (String string : strings) {

String upperCaseURL = url.toUpperCase();

String upperCaseStr = string.toUpperCase();

if (upperCaseURL.indexOf(upperCaseStr) >= 0) {

request.getRequestDispatcher("/uc/error").forward(req, resp);//如有注入的关键字或字符则去到错误的页面,不在往下执行

return ;

}

}

chain.doFilter(req, resp);

}

public void init(FilterConfig filterConfig) throws ServletException {

}

public void destroy() {

}

}

在web.xml中添加

MyFilter

com.ifan.soft.filter.MyFilter

MyFilter

/*

jackie陈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java dwr 漏洞_实战渗透-基于DWR框架下的漏洞探测
weixin_34878397的博客
02-26 4607
前言未经授权,禁止转载!0x01前段时间,在对某站群系统进行代码审计时,发现某处DWR-AJAX接口存在文件上传漏洞代码层:public String upload(InputStream is, String fileName) {String fileUploadPath = getFileUploadPath();String file = String.valueOf(fileUpload...
实战 -- 记一次src小组定向挖掘
qq_29437513的博客
01-03 2021
实战 - 记一次src小组定向挖掘
【web-攻击用户】(9.2)防止XSS攻击
08-27 509
【防止XSS攻击】确认输入、确认输出、消除危险的插入点
java dwr 漏洞_DWR异常情况处理常见方法解析
weixin_42346710的博客
02-26 941
在本次项目中,由于时间紧张直接使用DWR做Ajax请求!要求的是动态展示,那就需要使用DWR轮询请求,但是需要做异常情况下的一些处理!特别是DWR在遇到异常后,后台不报错,前台也只提示一个 Error !如果是轮询的话,那么就一直弹出 Error ,那谁收到了呀!对于DWR异常的处理,网上一大片都是这样说的,在DWR配置中增加一个转换器,将异常转换为一般异常,这样在前台就不是提示 Error,而是...
DWR小结
03-01
博文链接:https://huxiuliang.iteye.com/blog/234274
浅谈JavaSQL注入问题
weixin_42603304的博客
03-07 2381
SQL注入什么是SQL注入Mybatis下SQL注入如何解决SQL注入 什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 Mybatis下SQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。 编写xml文件时,Mybatis支持两种参数符号,一种是#,另一种是$。 Java
Sql注入工具_动力节点Java学院整理
01-21
10个SQL注入工具 BSQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL自动注入工具(支持SQL盲注),其设计的目的是希望能对任何的数据库进行SQL溢出注入。 BSQL Hacker的适用群体是那些对注入有经验的...
避免sql注入_动力节点Java学院整理
08-29
最后,在Java Web应用程序中,可以采用预编译语句集来解决SQL注入问题。预编译语句集内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。使用预编译语句集可以提高代码的可读性和可维护性,提高性能,极大地...
java-sql-inspector:用于测试Java代码是否存在SQL注入漏洞的实用程序
02-17
Java SQL Inspector是一款强大的工具,专为检测Java代码中的SQL注入漏洞而设计。SQL注入是一种常见的安全威胁,攻击者可以通过在输入字段中插入恶意SQL代码来操纵数据库查询,从而获取敏感信息、修改数据甚至完全...
sql注入过程详解_动力节点Java学院整理
01-19
一、SQL注入漏洞的判断 一般来说,SQL注入一般存在于形如:HTTP://xxx.xxx.xxx/abc.jsp?id=XX等带有参数的jsp或者动态网页中,有时一个动态网页中可能只有一个参数,有时可能有N个参数,有时是整型参数,有时是字符...
spring mvc 自动注入+dwr
09-05
spring mvc + 自动注入 + dwr例子
DWR(Direct Web Remoting)介绍
07-20
DWR 是一个开放源码的使用 Apache 许可协议的解决方案,它含服务器端 Java 库、一个 DWR servlet 以及 JavaScript 库。虽然 DWR 不是 Java 平台上唯一可用的 Ajax-RPC 工具,但是它是最成熟的,而且提供了许多有用的功能
DWR框架配置学习教程
01-23
DWR框架配置学习教程DWR框架配置学习教程
未授权访问漏洞-java
Zxdwr520的博客
07-30 1556
漏洞是无需登录操作直接进入登录成功后的页面,这种漏洞多数是已get方法来跳过登录到达相应的目的 第一种:使用登录的URL 比如:http://localhost:8080/LeakHandle/user/loginUser?userName=admin&password=123456 解决办法: (1)、get变post,禁止使用get方式,指定POST请求方式,并对参数判断 (2)、在JSP中不可使用GET /** * 登录---帆 * @param user ...
记录DWR所致的内存泄漏
洛北辰南的博客
12-20 629
前言 很幸运的从线上传回了即将宕机的服务器的堆转储文件 通过jdk自带工具jmap jmap -dump:live,format=b,file=X://filepath//heap.bin pid dump文件高达9G,还好7Z的压缩率很高,压缩到600M,发回给我进行分析。 初次打开这个文件就用了将近二十分钟,分配了8G内存。。 发现问题 显然,DWR这个类,是内存泄漏的关键问题,占用...
java dwr 漏洞_Java DWR内存泄漏问题解决方案
weixin_28685287的博客
02-26 558
机器跑了一晚上,发现有崩溃现象,由于页面内有动态绘图功能,我怀疑是绘图原因,但是今天上午有人提醒我才想到,是不是间隔调用时DWR产生了内存泄漏问题?网上查了一下貌似大家都在讨论这个问题,之前我也挺老手说过DWR有内存问题,可是没有遇到过。原来DWR在间隔调用这种情况下会有问题!按照大家的说法,修改engine.js配置文件来解决问题,目前我也修改了一下,修改方法如下:在dwr.engine._se...
DWR安全方面(网摘)
Ghosthuo的专栏
12-17 2026
安全我们很谨慎的对待DWR的安全问题,并且认为有必要解释一下避免错误要做的事情。 首先DWR让你明确哪些是被远程调用的,是如何被远程调用。原则就是DWR必须调用那些你明确允许的代码。 dwr.xml要求你为每一个远程类定义一个create项。你还可以通过指定include和exclude元素来更精确的控制远程调用Bean中可以被调用的方法。 除此之外如果你希望允许DWR在转换你的J
JAVA 系统常用漏洞解决方案
weixin_34129145的博客
09-28 555
为什么80%的码农都做不了架构师?>>> ...
关于dwr的安全性问题
持续改进
07-04 1199
在一些网站中,我们虽然使用了AJAX,但是我们并不希望用户能够私自调用这些AJAX,因为有些AJAX调用会含对数据的更新操作,即使是只读的操作,也不希望用户能在本地进行直接调用。 在 Michael Chen 的这篇文章中 [url]http://michael.nona.name/archives/142[/url] ,提及了ajax应用中的安全问题,并且给出了一个临时的解决方案。虽然我...
java 防止sql注入% _
最新发布
07-27
Java中防止SQL注入主要有两种方法: 1. 使用参数化查询(Prepared Statements):这是最常用且推荐的防止SQL注入的方法。通过将SQL查询语句中的参数使用占位符(?)表示,然后使用预编译的语句将参数传递给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值