过滤器 去除sql注入语句

最新推荐文章于 2023-05-16 07:40:27 发布
最新推荐文章于 2023-05-16 07:40:27 发布
阅读量354 收藏
点赞数
分类专栏: filter 文章标签: sql filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zgh670042085/article/details/84414742
版权

 

package com.spider.reader.common.filter;

import java.io.IOException;
import java.util.Enumeration;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;

import com.spider.reader.common.util.StringUtils;

public class CharsetFilter implements Filter {
	
	protected final static Log log = LogFactory.getLog(CharsetFilter.class);

	private String encoding = null;
	
	private String errorforward = null;
	
	private static String postsql = null;
	
	private static String getsql = null;
	
	public void destroy() {
	}

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		if (StringUtils.isEmpty(request.getCharacterEncoding())) {
			request.setCharacterEncoding(encoding);
			response.setCharacterEncoding(encoding);
			response.setContentType("text/html;charset=UTF-8");
			chain.doFilter(request, response);
		}
		boolean bool = UrlFilter((HttpServletRequest) request);
		if (bool == false) {
			request.getRequestDispatcher(errorforward).forward(request, response);
		}	
	}

	public void init(FilterConfig filterconfig) throws ServletException {
		encoding = filterconfig.getInitParameter("encoding");
		errorforward = filterconfig.getInitParameter("errorforward");
		postsql = filterconfig.getInitParameter("postsql");
		getsql = filterconfig.getInitParameter("getsql");
	}

	/**
	 * URL过滤
	 * 
	 * @author songnan
	 * @param request
	 * @return true为合法 false为非法
	 */
	public static boolean UrlFilter(HttpServletRequest request) {
		String method = request.getMethod().toString().toLowerCase();
		StringBuffer sbUrl = request.getRequestURL();
		String[] filterurl = postsql.split("\\|");
		if("post".equalsIgnoreCase(StringUtils.nvl(method))){
			filterurl = getsql.split("\\|");
		}
		Enumeration emParams = request.getParameterNames();
		StringBuffer sb = new StringBuffer("");
		boolean bool = true;
		while(emParams.hasMoreElements()){
			String sParam = (String) emParams.nextElement();
			String[] sValues = request.getParameterValues(sParam);
			sParam = sParam.replaceAll(" ", "");
			String sValue = "";
			if(!sParam.startsWith("paragraph")){
				for (int i = 0; i < sValues.length; i++) {
					sValue = sValues[i];
					sValue = sValue.replaceAll(" ", "");
					if (sValue != null && sValue.trim().length() != 0 && bool == true) {
						bool = false;
						sb.append(sParam).append("=").append(sValue);
					} else if (sValue != null && sValue.trim().length() != 0 && bool == false) {
						sb.append("&").append(sParam).append("=").append(sValue);
					}
				}
			}
		}
		if (sb.toString() != null) {
			String loqueryStr = sb.toString().toLowerCase();
			for (int i = 0; i < filterurl.length; i++) {
				if (loqueryStr.contains(filterurl[i])) {
					log.error("错误链接地址:" + sbUrl.toString());
					log.error(loqueryStr + " = " + filterurl[i]);
					return false;
				}
			}
		}
		return true;
	}
}
 

 

 

web.xml

 

<filter>
	<filter-name>encoding</filter-name>
	<filter-class>
		com.spider.reader.common.filter.CharsetFilter
	</filter-class>
	<init-param>
		<param-name>encoding</param-name>
		<param-value>UTF-8</param-value>
	</init-param>
	<init-param>
		<param-name>errorforward</param-name>
		<param-value>/index.jsp</param-value>
	</init-param>
	<init-param>
		<param-name>getsql</param-name>
		<param-value>
			exec|execute|insert|delete|update|master|truncate|char|declare|like|drop|database
		</param-value>
	</init-param>
	<init-param>
		<param-name>postsql</param-name>
		<param-value>
			exec|execute|delete|update|truncate|drop
		</param-value>
	</init-param>
</filter>
<filter-mapping>
	<filter-name>encoding</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>
 

 

zgh670042085
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何避免SQL注入(一文弄懂SQL注入与它的解决办法)
m0_58702068的博客
12-03 2496
如何避免SQL注入(一文弄懂SQL注入与其解决办法)一,SQL注入:1. 是什么2. 语句3. 如何解决二,PreparedStatement1. 什么是动态提供参数2. 对比PreparedStatement与Statement3. 实例展示 最近学习到了SQL注入,也就是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎,最终达到欺骗服务器执行恶意的SQL命令。那么如何解决这个问题呢,下面博主对自己的学习结果进行总结与大家分享。 一,SQL注入: 1. 是什么 就是利用现有应用程序,将恶意
java过滤器sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
sql--SQL注入过滤
VIP_CR的博客
08-08 709
/// <summary> ///SQL注入过滤 /// </summary> /// <param name="InText">要进行过滤的字符串</param> /// <returns>如果参数存在不安全字符,则返回true</returns> public static bool SqlFilter2(string InText) ...
过滤器防止SQL注入
yansong_8686的专栏
12-07 2391
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏 忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 filter功能.它使用户可以改变一个 request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够 在一个request到达servlet之前预处理r
防止SQL注入
江拥羡橙的博客
05-16 579
SQL注入是比较常见的网络攻击方式之一,它不是利用**操作系统**的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改**数据库**。
SQL语句-常用的sql语句生成器.zip
最新发布
02-21
- **SQL注入**:一种常见的网络安全攻击方式,用户应避免在动态SQL中直接拼接用户输入,而应使用参数化查询。 - **索引优化**:合理创建和使用索引可以显著提升查询速度,但过多的索引会影响写操作性能。 - **...
防止sql注入demo
07-12
下面我们将深入探讨SQL注入的基本原理、为何需要防止以及如何在Java中实现过滤器Filter)来防止此类攻击。 1. SQL注入基础: SQL注入是由于应用程序未能正确验证和清理用户输入的数据导致的。当用户提交的输入被...
sql.rar_SQL防注入_asp 防注入_sql注入_防破
09-22
此外,还可以使用白名单或黑名单过滤器去除或转换可能的危险字符。 对于登录和其他关键操作,使用HTTPS协议进行加密通信,可以保护数据在传输过程中不被窃取。同时,定期更新和打补丁,保持服务器软件和数据库...
最详细的SQL注入相关的命令整理(2)
10-16
SQL注入是一种常见的网络安全攻击方式,通过在设计不佳的Web应用程序中输入恶意SQL语句,攻击者可以操纵数据库执行非授权操作,如读取、修改或删除数据。 ### SQL注入命令详解 #### 1. 创建临时表存储目录信息 ``...
sql by pass ian
08-02
在网络安全领域中,SQL注入是一种常见的攻击方式,通过将恶意SQL代码插入到应用程序的数据输入字段中,攻击者可以获取敏感数据、篡改数据库或控制整个后端服务器。安全狗(SafeDog)是一款常用的安全防护软件,用于...
sql注入Java过滤器
11-10
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
StringUtils
12-22
StringUtils.Java包括了很全的字符串操作的方法。使用非常方便。
避免sql注入的方法
admindong的博客
09-13 316
避免sql注入的方法 一、存储程序         在学习数据库视频的时候接触过,它是存储在数据库中的一些事先编译好的指令。在用的时候不用重新编写,直接调用就好了。所以,使用它可以大大提高程序的执行效率。 那么,如何创建一个存储程序并使用它呢?这是我们今天要解决的问题。         1.创建过程            可编程性——下拉菜单——存储过程——右键——查询菜单———指定模板
如果有效地防SQL注入
weixin_40213018的博客
07-01 220
nginx拦截 apache防火墙,nginx防火墙,都有内置的过滤sql注入的参数,当用户输入参数get、post、cookies方式提交过来的都会提前检测拦截。 php拦截 开启php的魔术模式,,magic_quotes_gpc = on即可,当一些特殊字符出现在网站前端的时候,就会自动进行转化,转化成一些其他符号导致sql语句无法执行。 输入校验 网站代码里写入...
StringUtils 字符串工具类
qq_16313575的博客
10-08 388
/** * 字符串工具类 */ public class StringUtils extends org.apache.commons.lang3.StringUtils { /** * 空字符串 */ private static final String NULLSTR = ""; /** * 下划线 */ private static final char SEPARATOR = '_'; /** ..
SQL注入工具类
点点的博客
06-26 6158
import cn.hutool.crypto.SecureUtil; import lombok.extern.slf4j.Slf4j; import javax.servlet.http.HttpServletRequest; import java.util.regex.Matcher; import java.util.regex.Pattern; /** * sql注入处理工具类 */ @Slf4j public class SqlInjectionUtil { /** *
java StringUtil 工具类
qq_34078119的博客
05-11 2142
import java.io.File; import java.io.UnsupportedEncodingException; import java.math.BigDecimal; import java.net.URLDecoder; import java.net.URLEncoder; import java.text.ParseException; import java
SQL Server 过滤数据
m0_67879025的博客
04-07 860
1.Select Distinct 一个列可能会包含多个重复值,有时您也许希望仅仅列出不同的值。Distinct 关键字用于返回唯一不同的值。换句话说,它从结果集中删除列中的重复值。Distinct 将所有Null值视为相同的值。 语法: Select Distinct * From table_name 2.Where Where子句用于过滤记录,提取那些满足指定条件的记录。 语法: Select * From table_name Where Se...
过滤器过滤sql注入代码
04-05
4. 使用ORM框架:ORM框架会自动帮助过滤SQL注入代码,因为ORM框架会将用户输入的数据转换为对象,而不是直接执行SQL语句。 5. 使用安全的数据库访问库:一些数据库访问库,如PDO、MySQLdb等,会自动过滤SQL注入代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值