java sql注入包_SQL注入漏洞-Java

最新推荐文章于 2023-04-02 08:40:17 发布
最新推荐文章于 2023-04-02 08:40:17 发布
阅读量185 收藏
点赞数
文章标签: java sql注入包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42160278/article/details/114557994
版权

这个是常见的漏洞了,相信大家都不会陌生,直接上解决该漏洞的代码

package com.ifan.soft.filter;

import java.io.IOException;

import java.text.SimpleDateFormat;

import java.util.Date;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import org.apache.log4j.Logger;

/**

* 关注博主,获取更多解决漏洞的办法

* @author fan'fan

*

*/

public class MyFilter implements Filter {

private static SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");

private static final Logger log = Logger.getLogger(MyFilter.class);

/**

*关注博主,获取更多解决漏洞的办法

*/

public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest request = (HttpServletRequest)req;

String url = request.getRequestURI();

log.info("---当前URL:" + url + "--当前时间" + sdf.format(new Date()));

String[] strings = {//根据需要来定义

"from","count","chr","master","truncate","declare","drop","all","all",

"and","AND","MASTER","COUNT","FROM","DROP","order","to","TO","ALL","alter","ALTER",

"OR","or","select","DECLARE","EXEC","ORDER","in","IN","on","ON",

"SELECT","UPDATE","TRUNCATE","exec","GROUP","HAVING","DELETE","like","LIKE",

"delete","update","insert","group","having","","^","*","\'","!"," ","-","@","$","#",

"(",")","_","~","`","{","}","[","]","\"","|","?",",","。","《","》","(",")","!",

"、","——",";","‘","¥","’","【","】",":","&"

};

for (String string : strings) {

String upperCaseURL = url.toUpperCase();

String upperCaseStr = string.toUpperCase();

if (upperCaseURL.indexOf(upperCaseStr) >= 0) {

request.getRequestDispatcher("/uc/error").forward(req, resp);//如有注入的关键字或字符则去到错误的页面,不在往下执行

return ;

}

}

chain.doFilter(req, resp);

}

public void init(FilterConfig filterConfig) throws ServletException {

}

public void destroy() {

}

}

在web.xml中添加

MyFilter

com.ifan.soft.filter.MyFilter

MyFilter

/*

jackie陈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java dwr 漏洞_实战渗透-基于DWR框架下的漏洞探测
weixin_34878397的博客
02-26 4612
前言未经授权,禁止转载!0x01前段时间,在对某站群系统进行代码审计时,发现某处DWR-AJAX接口存在文件上传漏洞代码层:public String upload(InputStream is, String fileName) {String fileUploadPath = getFileUploadPath();String file = String.valueOf(fileUpload...
实战 -- 记一次src小组定向挖掘
qq_29437513的博客
01-03 2030
实战 - 记一次src小组定向挖掘
java dwr 漏洞_DWR异常情况处理常见方法解析
weixin_42346710的博客
02-26 944
在本次项目中,由于时间紧张直接使用DWR做Ajax请求!要求的是动态展示,那就需要使用DWR轮询请求,但是需要做异常情况下的一些处理!特别是DWR在遇到异常后,后台不报错,前台也只提示一个 Error !如果是轮询的话,那么就一直弹出 Error ,那谁收到了呀!对于DWR异常的处理,网上一大片都是这样说的,在DWR配置中增加一个转换器,将异常转换为一般异常,这样在前台就不是提示 Error,而是...
未授权访问漏洞-java
Zxdwr520的博客
07-30 1561
漏洞是无需登录操作直接进入登录成功后的页面,这种漏洞多数是已get方法来跳过登录到达相应的目的 第一种:使用登录的URL 比如:http://localhost:8080/LeakHandle/user/loginUser?userName=admin&password=123456 解决办法: (1)、get变post,禁止使用get方式,指定POST请求方式,并对参数判断 (2)、在JSP中不可使用GET /** * 登录---帆 * @param user ...
java dwr 漏洞_Java DWR内存泄漏问题解决方案
weixin_28685287的博客
02-26 560
机器跑了一晚上,发现有崩溃现象,由于页面内有动态绘图功能,我怀疑是绘图原因,但是今天上午有人提醒我才想到,是不是间隔调用时DWR产生了内存泄漏问题?网上查了一下貌似大家都在讨论这个问题,之前我也挺老手说过DWR有内存问题,可是没有遇到过。原来DWR在间隔调用这种情况下会有问题!按照大家的说法,修改engine.js配置文件来解决问题,目前我也修改了一下,修改方法如下:在dwr.engine._se...
Sql注入工具_动力节点Java学院整理
01-21
10个SQL注入工具 BSQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL自动注入工具(支持SQL盲注),其设计的目的是希望能对任何的数据库进行SQL溢出注入。 BSQL Hacker的适用群体是那些对注入有经验的...
避免sql注入_动力节点Java学院整理
08-29
最后,在Java Web应用程序中,可以采用预编译语句集来解决SQL注入问题。预编译语句集内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。使用预编译语句集可以提高代码的可读性和可维护性,提高性能,极大地...
java-sql-inspector:用于测试Java代码是否存在SQL注入漏洞的实用程序
02-17
Java SQL Inspector是一款强大的工具,专为检测Java代码中的SQL注入漏洞而设计。SQL注入是一种常见的安全威胁,攻击者可以通过在输入字段中插入恶意SQL代码来操纵数据库查询,从而获取敏感信息、修改数据甚至完全...
sql注入过程详解_动力节点Java学院整理
01-19
一、SQL注入漏洞的判断 一般来说,SQL注入一般存在于形如:HTTP://xxx.xxx.xxx/abc.jsp?id=XX等带有参数的jsp或者动态网页中,有时一个动态网页中可能只有一个参数,有时可能有N个参数,有时是整型参数,有时是字符...
JAVA 系统常用漏洞解决方案
weixin_34129145的博客
09-28 557
为什么80%的码农都做不了架构师?>>> ...
DWR(Direct Web Remoting)介绍
07-20
DWR 是一个开放源码的使用 Apache 许可协议的解决方案,它含服务器端 Java 库、一个 DWR servlet 以及 JavaScript 库。虽然 DWR 不是 Java 平台上唯一可用的 Ajax-RPC 工具,但是它是最成熟的,而且提供了许多有用的功能
DVWA SQL注入漏洞复现
ch258563的博客
04-02 365
DVWA SQL注入漏洞复现
DWR帮助说明-dwr的bug及其解决方法
充满诗意的联盟
09-09 308
使用DWR开始开发项目到现在,感觉真的经历了一段很长的路,因为其间遇到了很多的问题需要解决,一点儿不顺利。这个过程差不多总是这样的:写一小段程序,一运行就出错了,是什么原因呢,看了半天错误提示,不明白。怎么办,到DWR官方网站去看看吧,也许可以解决问题。如果不能,就把错误提示粘到百度去搜索一下国内网站吧。如果还不能,就到谷歌里去搜索一下国外网站。如果这些都不行,只能用最土的办法,设断点跟源码了。可...
dwr 全面解析
热门推荐
zhaizhanpo的专栏
09-27 3万+
                                DWR DWR的作用:DWR是一个可以允许你去创建AJAX WEB站点的JAVA开源库。它可以让你在浏览器中的Javascript代码调用Web服务器上的Java代码,就像在Java代码就在浏览器中一样。在使用dwr前,先介绍下我们远程调用的方法,以方便下文解说    其中的KnowDAO类是实现了CRUD方法
DWR框架安全
我的博客
10-29 367
    DWR非常全面地考虑过安全问题,在DWR网站上有许多这方面的讨论。     在使用DWR的过程中,我们在dwr.xml中手动指定哪些java类和方法我们想远程给JavaScript。这样,我们就可以确保没有攻击者能够利用除此之外的其他对象。     在dwr.xml中,对于每个远程Java类,都有一个create条目,我们可以用singleton、new或其他一些机制。还可以限制哪些...
使用dwr框架实现登录用户名验证
相濡以沫,不如相忘于江湖
03-29 2127
使用dwr框架实现Ajax(登录用户名验证)   1.        导入dwr.jar   2.        修改web.xml,添加代码  servlet>         servlet-name>dwrservlet-name>         servlet-class>             org.directwebremoting.servlet.DwrSe
java 防止sql注入% _
最新发布
07-27
Java中防止SQL注入主要有两种方法: 1. 使用参数化查询(Prepared Statements):这是最常用且推荐的防止SQL注入的方法。通过将SQL查询语句中的参数使用占位符(?)表示,然后使用预编译的语句将参数传递给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值