JavaEE-预编译-SQL
首先客户端进行request访问listener,通过监听器,然后访问过滤器filter,最后访问服务器servlet,如果存在数据交互,那么就进行数据交互。
因为Java存在预编译技术,所以很难找到sql注入漏洞。
String safesql="select * from news where id=?";
PreparedStatement preparedStatement=connection.prepareStatement();
preparedStatement.setString(1,s);
ResultSet resultSet=preparedStatement.executeQuery();
可以看出来是将其全部打包封装,而且中间还存在有过滤情况
JavaEE-过滤器-Filter
Filter被称为过滤器,过滤器实际上就是对Web资源进行拦截,做一些处理后再交给下一个过滤器或Servlet处理,通常都是用来拦截request进行处理的,也可以对返回的 response进行拦截处理。开发人员利用filter技术,可以实现对所有Web资源的管理,例如实现权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。
JavaEE-监听器-Listen
参考:https://blog.csdn.net/qq_52797170/article/details/124023760
-监听ServletContext、HttpSession、ServletRequest等域对象创建和销毁事件
-监听域对象的属性发生修改的事件
-监听在事件发生前、发生后做一些必要的处理
代码审计中分析执行逻辑触发操作,红队内存马植入,蓝队清理内存马等
扫一扫
718
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
