web.xml配置全局过滤器防止SQL注入

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量980 收藏 3
点赞数 1
分类专栏: java 工作 文章标签: sql java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao297328/article/details/126486124
版权
java 同时被 2 个专栏收录
66 篇文章 0 订阅
订阅专栏
工作
44 篇文章 0 订阅
订阅专栏

问题背景:

生产有个老项目使用的是jsp+servlet写的,对安全方面几乎没有,对执行的sql使用的是

Statement.executeUpdate(sql),没有使用PreparedStatement.executeUpdate(sql)

容易造成恶意攻击

解决思想:

1)配置全局过滤器,通过关键字匹配来拦截恶意请求

2)写sql的时候用PreparedStatement

本次使用的是配置全局过滤器

1.在web.xml中加入以下配置

<!-- 防止SQL注入的过滤器 -->
  <filter>
    <filter-name>SqlInjectionFilter</filter-name>
    <filter-class>org.oct.attachment.secure.SqlInjectFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>SqlInjectionFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
2.创建全局过滤器
package org.oct.attachment.secure;


import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.log4j.Logger;

import java.io.IOException;
import java.util.Enumeration;

/**
 * @author xiaoss
 * @since 1.0, 2022年08月22日 12:06:13
 */
public class SqlInjectFilter implements Filter {

   // Logger logger= LoggerFactory.getLogger(SqlInjectFilter.class);
	private static final Logger logger = Logger.getLogger(SqlInjectFilter.class);


    private static final String SQL_REGX = ".*(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|drop|execute)\\b).*";


    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        logger.error("进入全局过滤器==================================");
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        //获得所有请求参数名
        Enumeration params = req.getParameterNames();
        logger.error("url=================================="+req.getRequestURI()+ req.getQueryString());
        String sql = "";
        while (params.hasMoreElements()) {
            //得到参数名
            String name = params.nextElement().toString();
            //得到参数对应值
            String[] value = req.getParameterValues(name);
            for (int i = 0; i < value.length; i++) {
                sql = sql + value[i];
            }
        }
        //有sql关键字,跳转到error.html
        if (sqlValidate(sql)) {
            logger.error("您发送请求中的参数中含有非法字符"+sql);
            //throw new IOException("您发送请求中的参数中含有非法字符");
        } else {
            logger.error("执行完全局过滤器"+sql);
            chain.doFilter(req, res);
        }
    }

    //效验
    protected static boolean sqlValidate(String str) {
        str = str.toLowerCase();//统一转为小写
        if(str.matches(SQL_REGX)){
            return true;
        }
        return false;
    }

    public void init(FilterConfig filterConfig) throws ServletException {
    }

    public void destroy() {
    }

}

测试:

浏览器上直接访问项目

http://localhost:8080/oct_attachment_war/DeleteServlet?id=-1%20SELECT%202+983-983-1=0+0+0+1--

QQ:3083155908
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web项目没有web.xml配置文件
03-21
传统的Java Web应用通常依赖于`web.xml`文件来配置Servlet、过滤器、监听器等核心组件,但在最新的技术栈中,这种硬编码的方式已经被更加灵活和动态的配置方式所取代。 1. **Spring Boot**:Spring Boot是推动这一...
web.xml编写(filter过滤器
m0_63991207的博客
05-10 1805
filter-mapping>中<url-pattern>可以像<servlet-mapping>中的<url-pattern>一样,配置多个<url-pattern>,但是只有最后一个<url-pattern>会其作用。1.首先web.xml的模式文件是由Sun 公司定义的,每个web.xml文件的根元素为<web-app>中,必须标明这个web.xml使用的是哪个模式文件,基本语句相同,唯一不同的是版本号。一个web中可以没有web.xml文件,也就是说,web.xml文件并不是web工程必须的。
web.xml文件中filter配置详解
热门推荐
MisshqZzz的博客
07-31 3万+
从J2EE1.3开始,Servlet2.3规范中加入了对过滤器的支持,过滤器能够对目标资源的请求和相应进行截取。过滤器的工作方式分为4种:request过滤器,include过滤器,forward过滤器,error过滤器过滤器的工作分为等我弄懂了再说。我们先说说Java如何处理filter请求public class AuthorityFilter implements Filter { //
SpringBoot中如何防止XSS攻击和sql注入
最新发布
2302_77596945的博客
05-23 483
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
过滤器实现全局SQL注入
ACGkaka的博客
10-28 4293
目录SqlInjectFilter.javaMyRequestWrapper.java 场景: 公司渗透测试,发现了输入框有SQL注入风险,于是进行修改。 解决方案: 增加全局过滤器,对请求参数中存在SQL过滤器的参数进行提示,主要增加了两个类: SqlInjectFilter,过滤器; MyRequestWrapper,用于过滤器中获取POST请求参数。 SqlInjectFilter.java import com.alibaba.fastjson.JSONObject; import com.
Java--在web.xml配置过滤器Filter
qq_54000767的博客
11-21 4647
Java--在web.xml配置过滤器Filter
【SpringBoot】通过Filter实现整个项目接口的SQL注入拦截
真的好想再回到那时,可现在能做的只有补救。————个人博客:https://w7h1te.github.io/
09-13 1400
令人非常愉悦的参考
项目配置文件( spring-mvc.xml spring-mybatis.xml web.xml log4j.properties)
02-07
3. **web.xml**: 这是Web应用的部署描述符,定义了Servlet、过滤器、监听器等组件的配置。它指定应用程序的入口点,即DispatcherServlet,并配置如何处理HTTP请求。例如,设置Spring MVC的前端控制器,以及其他服务...
struts2技巧,笔记.zip指定404,500页面 utf-8过滤器SQL注入 解决乱码
01-24
web.xml中添加此过滤器配置全局过滤器,可以确保所有请求都使用UTF-8编码,避免乱码问题。 5. **Struts2详解**: Struts2框架的核心包括Action、Interceptor(拦截器)、Result和Value Stack等组件。Action...
超级SQL注入工具【SSQLInjection】V1.0 正式版 20201112
09-22
SQL注入通常利用了开发者在编写动态SQL查询时对用户输入数据的安全过滤不足。这个【SSQLInjection】工具就是针对这种漏洞设计的专业检测和利用工具。 【SSQLInjection V1.0】是2020年11月12日发布的正式版本,专门...
JAVA Web过滤器
06-01
多个过滤器可以组成一个过滤器链,它们按照在web.xml中的配置顺序依次执行。如果一个请求匹配多个过滤器,那么这些过滤器会按照声明的顺序依次执行doFilter()方法。 6. **常见应用场景** - **字符编码转换**:...
java 过滤器filter防sql注入
谢彬のCSDN专栏
04-04 1万+
XSSFilter.java public void doFilter(ServletRequest servletrequest, ServletResponse servletresponse, FilterChain filterchain) throws IOException, ServletException { //flag = true 只做URL验证;
SQL、JS脚本 防注入攻击过滤器
t194978的博客
04-17 494
1. web.xml 配置过滤器 <!-- SQL、JS脚本 注入攻击过滤器 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>com.huawei.esysadmin.common.filter.XssFilter</fil...
Java防止SQL注入(通过Filter过滤器功能进行拦截)
qq_37272886的博客
05-18 6429
前言 contentType=multipart/form-data的header以文件流的的形式上传文件时,如果代码中使用了Filter,会出现无法用Filter 中用ServletRequest.getParameter 方法取不到一并提交上来的参数 multipart/form-data格式: package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import java.
为解决存储型xss和sql注入漏洞,创建对应的全局过滤器
apple_pingwan的博客
01-13 2676
为解决存储型xss和sql注入漏洞,创建对应的全局过滤器
web.xml过滤器实现总结
ri_mu_xi_shan的博客
02-23 5114
web开发过程中,往往需要在web.xml中进行过滤配置,对用户的请求以及服务器的响应进行过滤。  过滤器的实现总结:  1、定义一个类实现Filter接口  2、在init()初始化方法中获取web.xml配置的参数值  3、在doFilter方法中实现过滤逻辑Filter接口提供了三个方法:init():初始化,读取web.xml配置的参数doFilter():实现过滤逻辑destory...
spring web.xml过滤器(Filter)的工作原理和代码
ttxs_10的博客
06-10 1848
spring web.xml过滤器(Filter)的工作原理和代码
Springboot使用CrosXssFilter防止sql注入xss攻击cros跨域等
冰之杍的博客
12-07 1240
Springboot使用CrosXssFilter防止sql注入xss攻击cros跨域等1.编写CrosXssFilter.java,代码如下2.在springbooot的启动类中加入注解@ServletComponentScan 现在的web系统对安全性要求越来越高,常常需要通过第三方的渗透测试才能进行验收,其中就有关于sql注入、xss攻击相关的,此文记录如果在springbooot中进行非侵入的改造,达到能通过sql注入及xss攻击测试的目的。 1.编写CrosXssFilter.java,代码如下
过滤器xml配置
qq_41521082的博客
02-01 507
自定义过滤器
web.xml配置Xss过滤器
08-23
web.xml配置XSS过滤器可以通过以下步骤完成: 1. 打开你的web.xml文件,该文件位于WEB-INF目录下。 2. 在web.xml文件中添加一个过滤器(Filter)的定义,如下所示: ```xml <filter> <filter-name>XssFilter</filter-name> <filter-class>com.example.XssFilter</filter-class> </filter> ``` 这里的`com.example.XssFilter`是你自己编写的XSS过滤器的类名,你需要根据自己的项目结构和需求来指定。 3. 在web.xml文件中添加一个过滤器映射(Filter Mapping),将过滤器与需要进行XSS过滤的URL模式进行关联,如下所示: ```xml <filter-mapping> <filter-name>XssFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 这里的`/*`表示对所有的URL进行XSS过滤,你也可以根据需要指定具体的URL模式。 4. 编写XSS过滤器的代码。创建一个Java类,实现`javax.servlet.Filter`接口,然后在该类中进行XSS过滤的逻辑处理。以下是一个简单的示例: ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class XssFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { // 初始化操作 } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) servletRequest; // 获取请求参数,对参数进行XSS过滤处理 // ... // 继续执行后续的过滤器或Servlet filterChain.doFilter(servletRequest, servletResponse); } @Override public void destroy() { // 销毁操作 } } ``` 在`doFilter`方法中,你可以获取到请求参数,并对参数进行XSS过滤处理。具体的XSS过滤逻辑可以根据你的需求进行编写。 请注意,这只是一个简单的示例,实际的XSS过滤逻辑可能更为复杂,你需要结合具体的业务需求来进行实现。 完成以上步骤后,保存web.xml文件并重新部署你的Web应用程序,XSS过滤器将会对指定的URL进行XSS过滤处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值