如何防止页面html脚本注入及sql注入

最新推荐文章于 2023-04-24 16:00:00 发布
最新推荐文章于 2023-04-24 16:00:00 发布
阅读量2.1k 收藏 1
点赞数
文章标签: html sql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yiXin_Chen/article/details/122078924
版权

防止页面html脚本注入示例:

在接收到页面参数时,在进行数据添加或者修改时, 将<>符号进行转义:

(以修改员工信息为例)  java代码如下 :

    /**
     * 修改员工信息
     */
    @RequestMapping("modify")
    public Dto modifyStaff(Staff staff, HttpSession session){
        System.out.println("修改员工信息");
        System.out.println("sstaff:"+staff);


        //获取登录用户
        StaffVo loginStaff = (StaffVo)session.getAttribute("loginStaff");
        //旧用户名
        String userName = loginStaff.getUserName();

        //新的用户名
        String newUserName=staff.getUserName();

        if(newUserName!=null){
            if(!userName.equals(newUserName)){
                StaffVo staffVo =null;

                /*判断账号是否为空*/
                if(staff.getUserName()!=null || !staff.getUserName().equals("")){
                    try {
                        //查询用户名是否存在
                        staffVo = staffService.query(new Staff(newUserName));
                        return DtoUtil.returnFail("用户名已存在!");
                    } catch (Exception e) {
                        e.printStackTrace();
                    }

                }
            }
        }

        /*防止脚本注入*/
        String realName = staff.getRealName().trim().replace("<","&lt;").replace(">","&gt;");
        staff.setRealName(realName);

        int modify = staffService.modify(staff);

        if(modify==0){
            //返回查询错误信息
            return DtoUtil.returnFail("员工信息修改失败!");
        }
        return DtoUtil.returnSuccess("员工信息修改成功!");
    }

 可以将转义的内容写成方法, 在需要用的地方进行调用 

public static String getHtmlIncodeByString(String str){     

   if(str!=null && !str.trim().equals("")){
       return str.trim().replace("<", "&lt;").replace(">", "&gt;");
   }
   return null;
}

注:防止页面html脚本注入  

        将 "<"   转换成   &lt;

         ">"    转换成   &gt;

         双引号  转换成  &quot;

         单引号  转换成   &apos;

防止sql注入:

mybatis 内部有防止sql注入的机制

mybatis中的#和$的区别:

        1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。PreparedStatement进行预编译
        如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id". 
        2、$将传入的数据直接显示生成在sql中。底层用Statement ,没有进行预编译,不安全.
如:where username=${username},如果传入的值是111,那么解析成sql时的值为where username=111;
        如果传入的值是:drop table user;,则解析成的sql为:select id, username, password, role from user where username=;drop table user;
        3、#方式能够很大程度防止sql注入,$方式无法防止Sql注入。
        4、$方式一般用于传入数据库对象,例如传入表名.
        5、一般能用#的就别用$,若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。
        6、在MyBatis中,“${xxx}”这样格式的参数会直接参与SQL编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式。所以,这样的参数需要我们在代码中手工进行处理来防止注入。
【结论】在编写MyBatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。

亦昕跑的码
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB漏洞测试——HTML注入及XSS注入
勇敢( ఠൠఠ ),不怕困难
07-15 3808
HTML注入 原理 目前我们所接触展示页面基本上都是由html来实现的,那么后台在处理内容的时候,是对html很少处理的,如果用户刻意通过输入框、文本框、查询框来填写html、js代码(脚本注入),那么就会造成漏洞,若填写恶意网站,病毒网站,这样是很恐怖的。 举个栗子 新建项目标题中添加html标签注入测试 结果:真的变成了一个链接 点击这个连接可以跳转过去,如果不是百度的连接,而是恶意网站呢 功能快捷键 撤销:Ctrl/Command + Z 重做:Ctrl/Command + Y 加粗:Ctrl/C
浅谈html转义及防止javascript注入攻击的方法
10-20
下面小编就为大家带来一篇浅谈html转义及防止javascript注入攻击的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
HTML赋值,防止外部注入方法!
weixin_30722589的博客
11-14 138
对于HTML中项目文字的内容设定可能有一下3中方式:$(newOccurPos).text(jsonArray["table_lstRow"][rowData].OccurPos);$(newOccurPos).html(jsonArray["table_lstRow"][rowData].OccurPos);newOccurPos.innerHTML=jsonArray["table_lst...
js处理网页编辑器转义、去除转义、去除HTML标签的正则
11-21
富文本编辑器生成的HTML标签,进行转义,然后写入数据库,防止脚本注入: function htmlEncode(value){   return $('<div>').text(value).html(); } 1、从数据库拿出的转义后的HTML标签内容,先得去除转义,然后再去除HTML标签,是生成缩略文字。 /*移除HTML标签代码*/ function removeHTMLTag(str) { str = str.replace(/<\/?[^>]*>/g,''); //去除HTML tag str = str.replace(/[ | ]*\n/g,'\n'); /
防止html注入
wangxuewei111的专栏
06-14 4188
1.防止html注入 背景:提交订单时测试数据通常会有html标签,例如名称字段:名称,这样对于查询再显示出来会有问题,因此需要对html代码进行转义 (1)后台转义 String s = HtmlUtils.htmlEscape("hello world "); //转义 System.out.println(s); String s2 = HtmlUtils.htmlUnescap
【css】css选择器
michiko98的博客
07-03 139
选择器 示例 示例说明 CSS .class .intro 选择所有class="intro"的元素 1 #id #firstname 选择所有id="firstname"的元素 1 * * 选择所有元素 2 element p 选择所有<p>元素 1 element,...
sql注入问题
坤健的博客
08-22 255
mybatis中的#和$的区别: 1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id".  2、$将传入的数据直接显示生成在sql中。 如:where us...
前端安全问题及防范措施
weixin_42429220的博客
04-24 1275
本文介绍了前端安全问题,包括 XSS 攻击、CSRF 攻击、SQL 注入等。同时,也给出了针对这些安全问题的防范措施,如在前端代码中过滤用户输入,使用 HTTP-only 标记,设置 Content-Security-Policy,添加 token,检查请求来源和使用参数化查询等。XSS 攻击(跨站脚本攻击)是指攻击者向 Web 页面注入恶意代码,从而窃取用户信息或执行其他恶意操作。SQL 注入是一种最为常见的攻击方式之一,攻击者通过在用户输入中注入 SQL 代码,从而导致网站受到损害,破坏数据库安全。
前端参数效验防止sql注入的方法
weixin_43578304的博客
11-17 1581
最近做完项目时,甲方对系统有要过安全等保三级的要求,这里针对我所编写的模块遇到的前端代码扫描出现的sql注入问题,给出部分解决方案。
防js代码注入
WiFi_Uncle的专栏
10-11 4780
1. 什么是 JavaScript 注入攻击?每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。举个例子首先, 我在某个输入框中输入js代码<script type="
如何防止html注入
壁花girl的博客
11-22 5308
在编写代码中,如何防止html注入?我们可以把输入的html便签转换为空字符串 var content=$("#content").val(); //防止html注入,标签转空字符串 var content1=content.replace(/]+?>/g,''); 也可以把html标签直接转码 //HTML标签转码 function html2Escape(sHtml)
防止html脚本注入脚本
04-17
NULL 博文链接:https://username2.iteye.com/blog/1826071
mybatis防止SQL注入的方法实例详解
08-27
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。那么mybatis是如何防止SQL注入的呢?下面脚本之家小编给大家带来了实例代码,需要的朋友参考下吧
asp中一段防SQL注入的通用脚本
10-30
asp中一段防SQL注入的通用脚本
SQL住入原始脚本_SQL注入python脚本_
10-03
用于SQL注入,打开SQLmap运行脚本。布尔盲注 延时注入
SQL脚本_UI_sql注入_sql_
10-01
sql注入UI实现,包括报错注入,基于布尔得盲注,基于时间得盲注
正则防止html注入,浅谈html转义及防止javascript注入攻击的方法
weixin_31689491的博客
05-30 604
有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:alert('test');,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢?通过html转义能解决这个问题。一:什么是html转义?html转义是将特殊字符或html标签转换为与之对应的字符。...
sqlmap常见注入方式和基本注入语句
qq_58317810的博客
04-30 2866
sqlmap的get注入方式(以sqli_lables靶场题目为例) (--batch:要求所有数据都选取默认值) sqlmap -u "http://192.168.31.56/Less-1/?id=1" --dbs --batch(探测库名) sqlmap -u "http://192.168.31.56/Less-1/?id=1" -D security --tables --batch(探测表名) sqlmap -u "http://192.168.31.56/Less-1/?id=1" -D se
使用jsoup 对HTML 文档清理防止脚本注入
xinghaifeng2006的专栏
02-18 262
  jsoup 在提供强大的 API 同时,人性化方面也做得非常好。在做网站的时候,经常会提供用户评论的功能。有些用户比较淘气,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,例如 XSS 跨站点攻击之类的。 jsoup 对这方面的支持非常强大,使用非常简单。看看下面这段代码: public static String getTrueValu...
批量脚本防止sql注入
最新发布
05-25
为了防止 SQL 注入攻击,可以采取以下措施: 1. 使用参数化查询(prepared statements):参数化查询是一种在查询语句中使用占位符的方式,这些占位符会被实际的值替代。这样可以防止攻击者在输入中注入 SQL 代码。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值