运用装饰模式截取用户输入构建通用验证

最新推荐文章于 2024-07-25 00:00:00 发布
最新推荐文章于 2024-07-25 00:00:00 发布
阅读量107 收藏
点赞数
分类专栏: 设计模式 文章标签: Servlet Tapestry 正则表达式 Security SQL

 在系统开发中,与用户交互的地方,例如表单输入,浏览器URL传参都是系统安全的敏感地带。传统的客户端JavaScript验证只能挡君子而不能拦小人,因为用户一旦将JS禁用,我们就无能为力。于是人们说最安全的方式还是在服务器端验证。但是这种最安全的方式却是很麻烦的做法!因为我们无法只单单的在服务器端验证,我们还需要做客户端传统验证,这样一来同一套验证,客户端一次,服务器端一次,暂且不考虑执行的效率,单单是开发的效率就很让人抓狂了!尤其是对URL传参的验证,难道我们对每一个URL传递参数的地方都必须写一堆的验证代码吗?
 如果有这样一种方法能够通过一个过滤器能够一次性的拦截获取所有的用户输入,那么我们就可以只通过这个过滤器来做基础的安全性验证,例如我们可以过滤SQL语句,过滤非安全字符等等,而把业务规则验证留给程序员去实现,就将大大的加快开发效率,同时也可以构建一个通用的用户输入验证框架,减少与程序的紧耦合!
 例如我们将所有用户输入中的"<"改为"&lt;",将所有的">"改为"&gt;"
 本文试图寻找一种方法来解决这个问题!
 
 关于对装饰模式的具体说明,可以自行Google一下,或者可以查看此文:装饰Servlet Request对象,建议想了解原理的读者先阅读一下这篇文章!
 首先我们创建一个filter,让它可以拦截所有的请求!

 <filter>
  <filter-name>userInputFilter</filter-name>
  <filter-class>
   com.djwl.core.security.UserInputFilter
  </filter-class>
 </filter>
 <filter-mapping>
  <filter-name>userInputFilter</filter-name>
  <url-pattern>/*</url-pattern>
 </filter-mapping>

 

package com.djwl.core.security;

import java.io.IOException;

import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/** *//**
 * 功能描述:过滤用户输入的危险字符,及SQL语句<BR>
 * @author 杨凯 <BR>
 * 时间:Jun 9, 2009 1:22:03 PM <BR>
 */
public class UserInputFilter implements javax.servlet.Filter {

    public void destroy() {
        
    }

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)servletRequest;
        request.setCharacterEncoding("gbk");
        
        //重点是这句,该处我们运用装饰模式构建一个自己的ServletRequest类
        chain.doFilter(new UserInputFilterHttpServletRequestWrapper(request), servletResponse);
    }

    public void init(FilterConfig filterConfig) throws ServletException {
        
    }

}

 

package com.djwl.core.security;

import java.util.HashMap;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import com.djwl.core.utils.V;

public final class UserInputFilterHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public final static Map characterMap = new HashMap();
    
    //对于一些我们不想让该类验证的值,例如我使用Tapestry开发,那么这些Tapestry框架自己的东西,我们忽略掉!
    static{
        characterMap.put("formids", "");
        characterMap.put("seedids", "");
        characterMap.put("submitmode", "");
        characterMap.put("sp", "");
        
    }
    
    //构造函数
    public UserInputFilterHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }
    
    //验证从页面上提取单个值的情况,包括URL传参
    @Override
    public String getParameter(String name) {
        return  V.validate(super.getParameter(name));
    }
    
    //验证从页面上一次性获取多个值的情况
    @Override
    public String[] getParameterValues(String name) {
        //忽略一些我们的设定
        if (characterMap.containsKey(name)) {
            return super.getParameterValues(name);
        }
        String[] userinputs = super.getParameterValues(name);
        if (userinputs == null) {
            return null;
        }
        //逐一判断
        String[] results = new String[userinputs.length];
        int i=0;
        for (String string : userinputs) {
            results[i] = V.validate(string);
            i++;
        }
        return results;      
    }
}

 

package com.djwl.core.utils;

import java.util.regex.Matcher;
import java.util.regex.Pattern;

import org.apache.commons.lang.StringUtils;

import com.djwl.core.MisException;

public class V {
    
    /** *//**
     * 功能描述:改变用户输入<BR>
     * @param str
     * @return
     * @author:杨凯<BR>
     * 时间:Nov 24, 2009 12:07:57 PM<BR>
     */
    private static String escape(String str){
//        str = StringEscapeUtils.escapeSql(str);
//        str = StringEscapeUtils.escapeHtml(str);
//        //str = StringEscapeUtils.escapeJavaScript(str);
//        str = str.replaceAll("#", "");
        str = str.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        str = str.replaceAll("\r\n", "<BR>");
        str = str.replaceAll("null", " ");
        return str;
    }
    
    /** *//**
     * 功能描述:截取危险字符<BR>
     * @param str
     * @return
     * @author:杨凯<BR>
     * 时间:Nov 24, 2009 12:08:08 PM<BR>
     */
    private static Boolean contains(String str){
        //这里我们可以根据自己的逻辑,编写适当的正则表达式判断
        String regexp = "\\b(drop|delete|update|insert|select|call|exec|set|declare|script|link)\\b";
        Matcher matcher = Pattern.compile(regexp).matcher(str.toLowerCase());
        if (matcher.find()) {
            throw new MisException("用户输入中含有非法字符");
        } else {
            return true;
        }
    }
    
    /** *//**
     * 功能描述:验证字符串<BR>
     * @param str
     * @return
     * @author:杨凯<BR>
     * 时间:Jun 9, 2009 5:09:31 PM<BR>
     */
    public static String validate(String str){
        if (StringUtils.isNotBlank(str) && contains(str)) {
            return escape(str);
        }
        return null;
    }
    
    
}

      需要说明的一点是,如果表单中有文件上传的控件,意思是说如果from标签中enctype="multipart/form-data" ,则该过滤器如果获取用户输入,需要自行验证,当然一个系统中有文件上传的地方毕竟不多!所以造成的麻烦是很小的!

ycyk_168
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【ReCAPTCHA验证码识别】利用深度学习构建自动识别模型与算法
吴秋霖的博客
11-06 6114
从数据集训练到算法模块设计打造一款应对Google人机交互验证码自动识别机器人
统信系统UOS桌面版V20 用户手册
热门推荐
Reyn_观极
07-27 1万+
UOS桌面版V20用户手册。
装饰者模式的简单应用
sinat_肖旭东的博客
12-01 172
目录如果你想动态的扩展 一个类的功能,可以看看 java.io.InputStream的源码, * @see java.io.InputStream 抽象构件 * @see java.io.FilterInputStream 抽象装饰类 * @see java.io.BufferedInputStream 具体的装饰类 * @see java.io.DataInputStream 具体的装饰
表单验证设计的用户体验基本原则
w-ind'的博客
11-30 1211
表单验证设计的用户体验基本原则
细说设计模式
heshihu2019的博客
06-25 905
23种设计模式 (一)、创建型模式 对象实例化的模式,创建型模式用于解耦对象的实例化过程。 1. 单例模式:某个类只能有一个实例,提供一个全局的访问点。 2. 工厂方法模式:一个工厂类根据传入的参量决定创建出哪一种产品类的实例。 3. 抽象工厂模式:创建相关或依赖对象的家族,而无需明确指定具体类。 4. 建造者模式:封装一个复杂对象的创建过程,并可以按步骤构造。 5. 原型模式:通过复制现有的实例来创建新的实例。 (二)、结构型模式 把类或对象结合在一起形成一个更大的结构。 1. 装饰器模式:动态的给
设计模式之结构型模式
qq_42292373的博客
08-09 778
创建型模式 工厂方法模式、抽象工厂模式、单例模式、建造者模式、原型模式。 结构型模式 适配器模式、装饰器模式、代理模式、外观模式、桥接模式、组合模式、享元模式 行为模式 策略模式、模板方法模式、观察者模式、迭代子模式、责任链模式、命令模式、备忘录模式、状态模式、访问者模式、中介者模式、解释器模式。 所有的设计模式都是为了程序能更好的满足这六大原则。设计模式一共有 23 种,今天我们先来学习构建型模式,一共五种,分别是: 适配器模式 装饰器模式 代理模式 外观模式 桥接模式 组合模式 享元模式 一、适配
Kettle构建Hadoop ETL实践(五):数据抽取
wzy0623的专栏
09-29 5543
目录 一、Kettle数据抽取概览 1. 文件抽取 (1)处理文本文件 (2)处理XML文件 2. 数据库抽取 二、变化数据捕获 1. 基于源数据的CDC 2. 基于触发器的CDC 3. 基于快照的CDC 4. 基于日志的CDC 三、使用Sqoop抽取数据 1. Sqoop简介 2. 使用Sqoop抽取数据 3. Sqoop优化 (1)调整Sqoop命令行参数 (2)调整数据库 四、小结 本篇介绍如何利用Kettle提供的转换步骤和作业项实现Hadoop数...
Azure设计模式之网关卸载模式
我的英文站点:https://iorilan.medium.com/
01-27 573
网关卸载模式将共享或特殊的服务功能卸载到网关代理中。此模式可通过将共享类的服务(如SSL证书)从应用程序的其他部分移动到网关中,从而简化应用程序的开发。问题背景某些功能需要跨多服务,这些功能需要配置、管理和维护。在分布式环境中被一些服务共享的应用程序,在部署时会增加额外的管理开销和出错的可能性。对共享服务的任何更新都必须再次部署在引用该服务的所有服务中。要正确的处理安全问题(令牌验证、加密、SSL
从mk文件深度剖析OpenWrt软件编译构建系统、并手把手教学构建自己的系统软件
董哥的黑板报
10-14 1万+
前言: 构建自己的系统软件,原理请参考OpenWrt软件编译构建系统文章:https://blog.csdn.net/qq_41453285/article/details/102545605 下面我们自己以一个自己设计的Hello程序为例,一步一步地构建出自己的软件 一、程序实现的功能 我们实现一个在路由器启动后访问指定网站的功能,这样就可以统计路由器的启动次数。网站地址可以在配置文件中进...
一篇搞定,Kettle详细教程
Aidon博客
09-21 3301
本文主要以Kettle概述、Kettle开发环境部署、mac m1 kettle安装、linux kettle安装、kettle集群安装部署、kettle输入、kettle输出、kettle转换、kettle批量加载、kettle流程、kettle脚本、kettle的Java代码案例、kettle查询控件、kettle连接控件、kettle映射控件、kettle统计控件、kettle应用、kettle整合大数据、kettle streaming控件、kettle作业、kettle调度、kettle变量和参数
Selenium4 PO设计模式源码
12-29
在IT行业中,设计模式是一种通用解决方案的模板,用于解决软件设计中经常遇到的问题。Selenium 4 是一个广泛使用的Web应用程序自动化测试框架,它允许开发者编写脚本来模拟用户与网页的交互。本项目是一个基于...
模拟技术中的差分输入中频采样ADC的单端输入驱动电路
11-04
综上所述,模拟技术中的差分输入中频采样ADC的单端输入驱动电路设计结合了ADL5535/ADL5536的高线性度、低噪声特性以及精心设计的滤波和转换结构,确保了在高速采样环境下实现精确、可靠的信号转换,是构建高性能射频...
java开发通用帮助类
03-17
这些方法在处理用户输入、生成日志或构建查询语句时非常实用。 2. **日期时间**:帮助类可能会包含处理日期和时间的方法,如获取当前时间、格式化日期、计算两个日期之间的差值等。Java 8引入的`java.time`包提供了...
23种设计模式
03-18
这些模式总结了在实践中被广泛验证并认可的最佳实践,能够提升代码的可读性、可维护性和可扩展性。 在设计模式中,我们可以将其分为三类:创建型模式(Creational Patterns)、结构型模式(Structural Patterns)和...
ios-身份证验证.zip
07-11
在iOS开发中,身份证验证是一项重要的功能,...通过上述技术,开发者可以构建一个安全、高效的身份验证流程。在实际应用中,应根据项目需求选择合适的验证方式,同时注重用户体验和数据安全性,以打造高质量的iOS应用。
cmake中的正则表达式
一个致力于开源代码学习、分析和交流的博客
07-23 379
本文描述了cmake中的正则表达式
SQL-REGEX-常见正则表达式的使用
最新发布
喻师傅的学习笔记
07-25 426
SQL中,正则表达式(Regex)的使用可以帮助进行更灵活和精确的模式匹配和数据筛选。不同的数据库管理系统对于正则表达式的支持略有差异,但大体都是相似的。
python每日学习9:正则表达式
mohanyelong的博客
07-18 988
在Python中,正则表达式是一种用于匹配字符串中字符组合的模式。它被广泛用于执行各种字符串搜索和替换任务。Python提供了内置的`re`模块,用于处理正则表达式
【Python】主字符串中查找子字符串:滑动窗口、正则表达式、递归检查
u010528690的博客
07-24 915
定义了一个名为 count_substring 的递归函数,接收三个参数:string(主字符串)、sub_string(子字符串)和 index(当前检查的索引位置,默认为0)2、
python输入字符串截取
10-17
可以使用字符串切片来截取字符串,语法为:`string[start:end:step]`,其中 `start` 表示起始位置(包含),`end` 表示结束位置(不包含),`step` 表示步长(默认为 1)。例如,要截取字符串 `"hello world"` 中的 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值