springboot 防sql注入,非法字符正则

最新推荐文章于 2024-04-20 12:00:00 发布
最新推荐文章于 2024-04-20 12:00:00 发布
阅读量827 收藏 2
点赞数
分类专栏: springboot java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ying456baby/article/details/127550556
版权 
  Pattern p = Pattern.compile("(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|" +
                "(\\b(and|exec|execute|insert|select|delete|update|count|drop|%|chr|mid|master|truncate|char|declare|sitename|net user|xp_cmdshell|or|like'|and|exec|execute|insert|create|drop|table|from|grant|use|group_concat|column_name|information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|chr|mid|master|truncate|char|declare|or|--|like)\\b)");  //编译正则表达式,并创建Pattern类。
        Matcher matcher = p.matcher(caseScript);  // 通过模式对象得到匹配器对象
        boolean matcherflag= matcher.find(); // 通过对象的find方法就是查找有没有满足条件的子串
        if (matcherflag){
            return AjaxResult.error("sql脚本含有非法字符!");
        }

 Pattern p = Pattern.compile("(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|" +             "(\\b(and|exec|execute|insert|select|delete|update|count|drop|%|chr|mid|master|truncate|char|declare|sitename|net user|xp_cmdshell|or|like'|and|exec|execute|insert|create|drop|table|from|grant|use|group_concat|column_name|information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|chr|mid|master|truncate|char|declare|or|--|like)\\b)");  //编译正则表达式,并创建Pattern类。
        Matcher matcher = p.matcher(caseScript);  // 通过模式对象得到匹配器对象
        boolean matcherflag= matcher.find(); // 通过对象的find方法就是查找有没有满足条件的子串
        if (matcherflag){
            return AjaxResult.error("sql脚本含有非法字符!");
        }

---清心寡欲---
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springbootsql注入 & sql攻击
jancislo的博客
06-28 1万+
1.编写  XssHttpServletRequestWrapperimport javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XssHttpServletRequestWrapper extends HttpServletReque...
Python sql注入 过滤字符串的非法字符实例
09-17
主要介绍了Python sql注入 过滤字符串的非法字符实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
sql注入则匹配
qq_40127376的博客
09-10 2895
通用所有,则之前转小写 (.*\=.*\-\-.*)|(.*\|\|.*)|(.*\s+(and|or)\s+.*) 完美匹配
sql注入(三)绕过方法及御手段
最新发布
wangluoanquan111的博客
04-20 1124
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
SQL注入则表达式
绅士jiejie的博客
07-16 2458
SQL注入则表达式
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6443
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
SQL注入则拦截器
wcy1900353090的博客
03-25 2416
private static final Pattern PATTERN = Pattern.compile("\\b(\\s*and\\s*|\\s*exec\\s*|\\s*insert\\s*|\\s*select\\s*|\\s*drop\\s*|\\s*grant\\s*|\\s*alter\\s*|\\s*" + "delete\\s*|\\s*update\\s*|\\s*count\\s*|\\s*chr\\s*|\\s*mid\\s*|\\s*master...
SQL过滤,SQL注入
ugo
09-12 418
一般使用#{},但在使用Mybatis的语法写动态排序时,由于#{}会导致参数带上’',所以使用${},但是又怕sql注入的问题,将传入的参数,过滤后再拼接SQL,会更安全一些。
特殊字符检测工具(止传入非法字符sql注入攻击)
心若有所栖,何似风飘缈。
09-02 1300
特殊字符检测工具(止传入非法字符sql注入攻击)
止xss和sql注入:JS特殊字符过滤
12-01
代码如下:function stripscript(s) { var ...]”) //格式 RegExp(“[在中间定义特殊过滤字符]”)var rs = “”; for (var i = 0; i < s.length; i++) { rs = rs+s.substr(i, 1).replace(pattern, ”); }return rs;}
phpsql注入示例分析和几种常见攻击则表达式
10-26
主要介绍了phpsql注入漏洞代码和分析,最近提供了几种常见攻击的则表达式,大家参考使用吧
SpringBoot集成Mybatis实现简单的SQL注入(攻击)案例
12-14
(1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT ...
避免sql注入的方法
春风化雨
12-17 760
1、使用预处理 PreparedStatement mybatissql注入: # 将sql进行预编译sql,然后底层再使用PreparedStatement的set方法进行参数设置。 $ 将传入的数据直接将参数拼接在sql中。 #与$相比,#可以很大程度的sql注入,因为对sql做了预编译处理。 2、使用则表达式过滤掉字符中的特殊字符 即对你参数进行合理教研,避免sql拼接恶意脚本。 ...
java springboot sql注入的6种方式
qq_34874784的博客
08-24 4061
4. 使用ORM框架中提供的查询构造器(Query Builder):ORM框架通常提供查询构造器或查询构造API,这些API可以帮助我们构建数据库查询语句,而无需手动编写SQL语句。1. 参数绑定:通过使用参数绑定,将用户输入的数据作为参数传递给SQL语句,而不是将其直接拼接到SQL语句中。6. 使用安全的编码方式:在将用户输入插入到SQL语句中时,确保使用合适的编码方式进行转义,例如使用转义函数或参数化查询。5. 输入验证和过滤:对于用户输入的数据,应该进行验证和过滤,确保其符合预期的格式和类型。
SpringBoot项目Sql注入
Aguai229的博客
03-01 6402
由于我们的项目遭受了一次sql注入攻击,被批评的头破血流,马不停蹄安排起来。 首先,了解一下@WebFilter注解 @WebFilter 用于将一个类声明为过滤器,被@WebFilter注解的类,会在容器启动时被加载,并进行属性配置。具体的参数就不详细放出来了。initParams是该过滤器的初始化参数。 @Slf4j @Component @WebFilter(urlPatterns = "/*", filterName = "SQLInjection", initParams =
SpringBoot拦截所有请求校验特殊字符
qq_43147161的博客
09-05 2787
拦截请求参数重的特殊字符
SpringBootSQL注入XSS攻击CROS跨域
weixin_43890927的博客
05-06 143
【代码】SpringBootSQL注入XSS攻击CROS跨域。
springboot自带filter实现sql注入过滤器
leveretz的博客
12-29 2440
springboot自带filter实现sql注入过滤器
springboot 请求过程sql注入-请求body加密
ruo_yuan
07-22 1613
springboot 请求过程sql盲注-请求body加密 背景 博主好不容易熬到了项目终于把bug修改完毕,开始迎来了项目的安全测试和性能测试以及疲劳测试。于是就先做了安全测试,公司的安全测试目前是由软件完成的叫:Appscan 以及monkey(是开发的app)完成。扫描之后发现出现了十多个sql盲注问题。看到这问题内心是凉凉的,因为上一次扫描出了几十个盲注问题,让我改了很多代码。百度之后统一采用mybatis的#{}可以解决大部分盲注问题。因为我们项目业务比较复杂,所以里面有直接的jdbc操作,所以
springbootsql注入
08-12
引用中的代码展示了如何在Spring Boot中使用过滤器来SQL注入。在这个例子中,注册了一个名为XssAndSqlFilter的过滤器,并在WebConfig类中进行了配置。该过滤器能够过滤所有的请求,并对参数进行检查,止包含不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值