使用SpringAOP拦截关键字,防止sql注入

最新推荐文章于 2022-10-25 20:10:02 发布
最新推荐文章于 2022-10-25 20:10:02 发布
阅读量1k 收藏 2
点赞数 2
分类专栏: javaweb 文章标签: java sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuweuhai/article/details/109646811
版权

使用SpringAOP拦截关键字,防止sql注入

前言

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息

一、SqlFilter是什么?

sqlFilter主要是用来防止sql注入,在数据做防sql注入之前提前做校验,为系统安全添加保障。

二、使用步骤

1.在web.xml中配置

<filter>
	<filter-name>sqlFilter</filter-name>
	<filter-class>com.**.**.sqlFilter</filter-class>
</filter>

2.编写过滤方法

public class sqlFilter implements Filter{
	private static String strSql="^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$";
	private static  String sqlKeyWord =  "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"
        + "(\\b(select|and|or|delete|trancate|char|into|substr|ascii|declare|exec|count|into|drop|execute)\\b)";
    private static  Pattern sqlPattern = Pattern.compile(checksql, Pattern.CASE_INSENSITIVE);
    private static Pattern sqlKeyWordPattern = Pattern.compile(sqlKeyWord, Pattern.CASE_INSENSITIVE);

    @Override
    public void destroy() {
        System.out.println("过滤器被销毁!");
        // TODO Auto-generated method stub
        
    }

	/**
	*判断前端请求是否合法
	*/
    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        /**
         * 设置到sysContent里面 aop可以去到session
         */
        HttpServletRequest httpRequest = (HttpServletRequest)request;
        HttpServletResponse httpResponse = (HttpServletResponse)response;
        SysContent.setRequest(httpRequest);
        SysContent.setResponse(httpResponse);
        if(this.validSQL((HttpServletRequest)request, (HttpServletResponse)response)){
            chain.doFilter(request, response);
        }else{
            throw new IOException("非法请求,请确认输入参数是否合法");
        }
        
    }
    
    
    public boolean validSQL(HttpServletRequest request ,HttpServletResponse response) {
        Enumeration e=request.getParameterNames();
        String name="";
        String[] values=null;
        boolean checkResult=true;
        while(e!=null&&e.hasMoreElements()){
            name= e.nextElement().toString();
            //获取请求的参数
            values=request.getParameterValues(name);
            if(values!=null){
                for(int i=0;i<values.length;i++){
                    //sql关键字与传入的参数做对比
                    if(sqlPattern.matcher(values[i]).find()){
                        checkResult=false;
                        break;
                    }
                    //查找到sql语句
                    if(sqlKeyWordPattern.matcher(values[i]).find()){
                        checkResult=false;
                        sendMessageByResponse("validationError:::参数【"+values[i]+"】中含敏感关键词,请确认!!!:::validationError", response, getLogger());
                        break;
                    }
                }
            }
        }
        return checkResult;
    };

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        
        
    }

    /**
     * 将信息通过response发送给前台
     *
     * @param message
     *            发送信息
     */
    public static void sendMessageByResponse(String message, HttpServletResponse response, EnhancedLogger logger) {
        response.reset();
        response.setContentType("text/html;charset=" + Constants.ENCODING);
        try {
            response.getWriter().write(message);
            response.getWriter().flush();
            response.getWriter().close();
        } catch (IOException e) {
            logger.error(e);
        }
    }

该处使用的url网络请求的数据。

总结

以上只是通过一种方式过滤sql注入,还有很多的方法可以防止sql注入,希望以上分享对有需要的人有帮助。

wuweihao123456
关注
专栏目录
spring+springMVC+mybatis整合增删改查
01-12
3. **AOP**:SpringAOP模块提供了面向切面编程的能力,允许开发者定义拦截器来处理如日志、事务等横切关注点。 **二、SpringMVC** 1. **Model-View-Controller(MVC)架构**:SpringMVC遵循MVC设计模式,分离了...
解决SQL注入漏洞方法(二)使用AOP解决
Zxdwr520的博客
04-11 970
当发生SQL注入时不会执行控制器的方法,直接上代码 //tip:自定义一个切面类,并添加@Aspect,@Component @Pointcut("execution(public * Your package path.*.*(..)") public void test() { } @Around("test()") public Object arround(ProceedingJoinPoint pjp) { ServletRequestAttributes attribu.
通过springAOP的切面,拦截到持久层执行的sql及参数
PeterOK的博客
09-27 3725
待完善
Spring自定义注解实现AOP做简单的拦截/权限校验
whiteBearClimb的博客
10-10 884
关于AOP的资料:AOPSpring的面向切面编程) (1)新增依赖,pom.xml文件中新增: <!--ASPECT--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> </depen
mycat
梦想是很难很难的,所以先勇敢一点
02-11 1384
高并发压力 — 集群方式 大数据量 — 分库、分表 数据库优化措施 集群(主主互备,主从,读写分离) — 存储,查询效率 分表、分库(大数据存储) 开启缓存 — 内存 开启数据库索引(1000w — 30s,相同硬件,加索引2s) sql语句优化 表设计优化(尽量减少表的关系) 数据库集群3种实现方式 aop方式 拦截insert、update、delete方法读取写库,拦截select方法读取读库, 当有j集群的时候就需要自己写算法了,例如取余,例如根据时间等等 缺点是:需要自己实现,数据库管理比.
使用SpringAOP优雅的进行参数校验【三种方式】
探索科技 脚踏实地
09-06 4377
参数校验的三种方式,自定义AOP拦截完成嵌套对象的字段校验
说说SpringBoot怎么实现拦截器,实现数据校验
Java编程方面的技术文章、教程、分享和实践经验
11-04 1573
SpringBoot实现拦截器其实很简单,我们只需要实现HandlerInterceptor接口,然后实现接口里面的preHandle和postHandle方法,或者afterCompletion方法。 这里我们分别说下这三个方法 preHandle:从方法的名字看,预处理;意思就是拦截器在执行业务方法前的一个预处理。返回值是一个boolean型,true表示继续流程;false表示流程中断,不会继续调用其他的拦截器或处理器。postHandle:方法执行后的回调方法,就是当业务处理类方法执行结束之后会
SSH框架+SQLServer实现分页的小项目
01-16
Struts2是MVC(Model-View-Controller)设计模式的实现,Spring提供了依赖注入(DI)和面向切面编程(AOP),而Hibernate则是Java对象与关系数据库之间的持久化框架,简化了数据库操作。 **Struts2框架** Struts2...
spring3.0+struts2+mybatis3.0整合
05-09
5. **LIKE查询**:在MyBatis的SQL语句中,可以使用LIKE关键字配合通配符实现模糊查询。例如,`SELECT * FROM table WHERE column LIKE '%value%'`。 这种整合方式的优势在于,Spring提供了良好的模块化和松耦合,...
论坛系统(Struts 2+Hibernate+Spring实现)
12-22
6. 安全模块:包括用户验证、数据加密、防止SQL注入等。 **技术实现** 1. 使用Struts 2的Action和Interceptor处理用户请求和响应。 2. 设计实体类(Entity)并用Hibernate映射,通过SessionFactory和Session进行...
Hibernate+spring+struts2分页
12-05
在分页场景中,Spring可以通过其AOP(面向切面编程)和DI(依赖注入)特性,帮助我们更好地管理数据访问层和业务层。Spring JDBC模块中的`JdbcTemplate`或`NamedParameterJdbcTemplate`可以方便地实现分页查询,通过...
springboot中添加数据级别的权限拦截(包装SQL
酱紫的博客
06-24 6590
使用mybatis拦截器和aop实现SQL包装 在需要数据权限拦截的controller层添加更新权限列表注解,在mapper层添加开启拦截器的注解 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop&...
SpringBoot - 利用Spring Aop和自定义注解@CheckValidateAble实现前端请求类属性的校验
你今天真好看呀
10-25 1088
该接口用于给子类实现,从而验证子类对象各属性是否合法
springboot 通过拦截器实现中文敏感词过滤。
追风筝的人博客
07-07 4685
一、对于输入的参数值,进行对敏感词进行过滤,需要支持GET和POST方法请求。参考了https://blog.csdn.net/zlliuh/article/details/106740648 二、需要过滤词的工具类。参考了Java快速中文敏感词过滤,在15k敏感词库上的过滤速度超过50M字符每秒。https://gitee.com/hongfeifly/sensitive-words/tree/master该项目的方法。 三、将两个整合在一起实现了过滤敏感词。以下代码步骤; 1、拷贝大神开源...
利用Aop对排序字段,排序方式及搜索内容进行过滤,防止sql注入
qq_44447372的博客
06-13 384
利用Aop对排序字段,排序方式及搜索内容进行过滤,防止sql注入
AOP 拦截 sql语句
小擦鸟飞翔天的博客
07-30 2125
1 .定义注解类 @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.METHOD}) public @interface PrintSql { } 2.设置切面 @Aspect @Component public class MybatisSqlAop { @Value("${printSql.active}") private Boolean PRINT_SQL_ACTIVE; @Autowir...
通过Spring AOP 拦截 SQL
莫理琴的专栏
01-18 7312
sql 的重要性,开发人员都很清除,并不是所有人和时刻都记得log sql ,为了不侵入原来已经写好的代码,亦为了将来可以方便移走log,采用springAOP 来记录log 是件很有意义的事情。配置如下         true           theTracingBeforeAdvice              jdbcTemplate          class="org
Java 拦截器 + AOP
weixin_42927262的博客
05-06 262
两篇对应文章 https://blog.csdn.net/qq_41974570/article/details/115936788 https://www.jianshu.com/p/1538b1872c6a import org.apache.commons.codec.digest.DigestUtils; import org.apache.commons.lang3.StringUtils; import org.springframework.stereotype.Component; im
java aop拦截
weixin_45559862的博客
08-18 429
java aop切面 拦截接口
spring aop 拦截controller使用注解
最新发布
08-30
Spring AOP提供了一种方便的方式来拦截Controller方法,并且可以使用注解来定义这些拦截规则。 首先,我们需要使用`@Aspect`注解来定义一个切面类。在这个类中,我们可以定义多个通知方法,比如前置通知(`@Before`),后置通知(`@After`)、异常通知(`@AfterThrowing`)等。 其次,我们需要使用`@Pointcut`注解来定义一个切入点。切入点是一个匹配特定Controller方法的表达式。例如,我们可以使用`@Pointcut("@annotation(org.springframework.web.bind.annotation.RequestMapping)")`来匹配所有使用了`@RequestMapping`注解的方法。 然后,我们可以在通知方法中使用`@Around`注解来定义环绕通知。环绕通知可以在方法调用前后进行逻辑处理。例如,我们可以在方法执行前记录日志,方法执行后进行性能统计等。 最后,我们需要在Spring配置文件中将切面类作为一个Bean进行配置,并将其引入到Spring容器中。配置方式可以使用XML配置或者注解配置。 总的来说,使用Spring AOP拦截Controller方法可以帮助我们实现一些非业务逻辑的处理,比如日志记录、性能监控等。使用注解的方式可以更灵活地定义拦截规则,让我们的代码更加清晰和易于维护。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值