SpringBoot 之SpringMVC 常用配置--SQL注入

最新推荐文章于 2024-05-16 14:42:57 发布
最新推荐文章于 2024-05-16 14:42:57 发布
阅读量1k 收藏 1
点赞数
分类专栏: 微服务springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouzhiwengang/article/details/101027491
版权

应用场景:SpringMVC 发送get 请求方式,进行参数的sql 注入攻击清理,如果是post 的请求方式,这段代码是无法正常使用。

拦截器作用:
        拦截器Interceptor实现对每一个请求处理前后进行相关的业务处理。类似于Servlet的Filter。
第一种方式:可以让普通的bean实现HandlerInterceptor接口或者继承HandlerInterceptorAdapter类来实现自定义拦截器。
①继承HandlerInterceptorAdapter类来实现自定义拦截器
重写preHandle:在请求发生前执行、postHandle在请求完后执行。
 

SQL拦截器源码:

package com.digipower.ucas.interceptor;

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Enumeration;

/**
 * 防止SQL注入的拦截器
 *
 * @author tyee.noprom@qq.com
 * @time 2/13/16 8:22 PM.
 */
public class SqlInjectInterceptor implements HandlerInterceptor {

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {
        Enumeration<String> names = request.getParameterNames();
        while (names.hasMoreElements()) {
            String name = names.nextElement();
            String[] values = request.getParameterValues(name);
            for (String value : values) {
                value = clearXss(value);
            }
        }
        return true;
    }

    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object o, ModelAndView modelAndView) throws Exception {

    }

    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object o, Exception e) throws Exception {

    }

    /**
     * 处理字符转义
     *
     * @param value
     * @return
     */
    private String clearXss(String value) {
        if (value == null || "".equals(value)) {
            return value;
        }
        value = value.replaceAll("<", "<").replaceAll(">", ">");
        value = value.replaceAll("\\(", "(").replace("\\)", ")");
        value = value.replaceAll("'", "'");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']",
                "\"\"");
        value = value.replace("script", "");
        return value;
    }
}

SpringBoot 配置SpringMVC的拦截器

package com.digipower.ucas.config;

import java.util.ArrayList;
import java.util.List;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

import io.swagger.annotations.ApiOperation;
import springfox.documentation.builders.ApiInfoBuilder;
import springfox.documentation.builders.ParameterBuilder;
import springfox.documentation.builders.PathSelectors;
import springfox.documentation.builders.RequestHandlerSelectors;
import springfox.documentation.schema.ModelRef;
import springfox.documentation.service.ApiInfo;
import springfox.documentation.service.Contact;
import springfox.documentation.service.Parameter;
import springfox.documentation.spi.DocumentationType;
import springfox.documentation.spring.web.plugins.Docket;
import springfox.documentation.swagger2.annotations.EnableSwagger2;

@Configuration
@EnableSwagger2
@EnableWebMvc
public class SwaggerConfig extends WebMvcConfigurerAdapter {

	@Override
	public void addResourceHandlers(ResourceHandlerRegistry registry) {
		registry.addResourceHandler("swagger-ui.html").addResourceLocations("classpath:/META-INF/resources/");
		registry.addResourceHandler("/webjars/**").addResourceLocations("classpath:/META-INF/resources/webjars/");
	}
	
	// 定义json 转换器
	@Override
	public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
		// TODO Auto-generated method stub
		super.configureMessageConverters(converters);
	}

	@Bean
	public Docket buildDocket() {

		ParameterBuilder tokenPar = new ParameterBuilder();
		List<Parameter> pars = new ArrayList<Parameter>();
		tokenPar.name("X-CSRF-TOKEN").description("令牌").modelRef(new ModelRef("string")).parameterType("header")
				.required(false).build();
		pars.add(tokenPar.build());

		return new Docket(DocumentationType.SWAGGER_2).select()
				.apis(RequestHandlerSelectors.withMethodAnnotation(ApiOperation.class)).paths(PathSelectors.any())
				.build().globalOperationParameters(pars).apiInfo(buildApiInf());
	}

	

	private ApiInfo buildApiInf() {
		return new ApiInfoBuilder().title("深圳市世纪伟图科技开发有限公司 - 城建档案系统").termsOfServiceUrl("http://www.digipower.cn/")
				.description("API接口")
				.contact(new Contact("digipower", "http://www.digipower.cn/", "digiservices@digipower.com"))
				.version("2.0").build();

	}
	
	    //拦截器
		@Bean
		public SqlInjectInterceptor  sqlInjectInterceptor () {
			return new SqlInjectInterceptor();
		}
	 
		@Override
		public void addInterceptors(InterceptorRegistry registry) {// 2
			registry.addInterceptor(sqlInjectInterceptor());
		}
}

 

在奋斗的大道
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
mybatis-plus集成springbootspringmvc
05-19
首先,`SpringBoot` 是一个快速开发框架,集成了大量常用组件,如自动配置、健康检查、日志管理等。`SpringMVC` 是 Spring 框架的一部分,专门用于处理 Web 请求和响应。MyBatis-Plus 作为一个轻量级的数据访问层,...
Springboot JPA日志输出时打印的SQL语句拼接上传入的参数
溯洄蒹葭黎
08-21 2046
我们在控制台看到的sql语句一般是 没有 自动把参数拼接进去的 所以有时候语句很长 参数很多的时候 手动替换 烦的一批 那现在我就试试 自动拼接参数 首先 引入 架包Log4jdbc-log4j2 Log4jdbc-log4j2是做什么的呢 这个是一个基于jdbc层面的监听工具,可以监听对于数据库的主要操作,从而完美的查看到其中执行的操作。 <!--监听数据库操作--> <dependency> <groupId>org.bgee.log4jdbc-log4j
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了
最新发布
Mr丶·Zhou博客
05-16 1050
这是因为mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?SQL注入攻击是最古老,最流行,最危险的Web应用程序漏洞之一。存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,能够提高效率,原因是sql已编译好,再次执行时无需再编译。
SpringBootSpringMVC 实现SQL注入过滤 完整版(支持POST请求和GET请求)
zhouzhiwengang的专栏
09-19 4541
首先请参考:SpringBootSpringMVC拦截器从Request中获取参数并解决request的请求流只能读取一次的问题 参考完上面的代码,现在开始编辑SQL注入拦截器,核心功能代码如下: package com.digipower.erms.interceptor; import java.io.BufferedReader; import java.io.InputStr...
针对springboot自定义sql语句(1)
木蒙的博客
08-13 2681
针对springboot自定义sql语句(1) 一、mapper层 在mapper层定义一个方法,加上注解@select,@insert, @update, @delete 如下图所示: @Select("SELECT `class_id` FROM `stuclass` WHERE `class_name` = #{className}") String getClassId(@Param("className") String className); 数据若返回单单一个string类型,注意得到的数
基于springboot实现SQL注入过滤器
zhangbeizhen18的博客
06-11 2782
记录:273 场景:以过滤器(Filter)的方式,对所有http请求的入参拦截,使用正则表达式匹配入参中的字符串。存在SQL注入风险的参数,中断请求,并立即返回提示信息。不存在SQL注入风险的参数,校验通过后,放入过滤器链,继续后续业务。......
springboot + springMVC整合源码
11-20
SpringBootSpringMVC是两个在Java开发领域广泛使用的框架,SpringBoot简化了Spring应用程序的初始设置和配置,而SpringMVC则是Spring框架的一部分,专门用于处理Web应用程序的请求和响应。在这里,我们将深入探讨...
SpringBoot+Spring+MyBatis-51问-面试用
06-13
以上内容主要涵盖了SpringBootSpring框架的基本概念、核心优势、配置方式、对象管理和依赖注入等关键知识点,这些都是面试中可能涉及的重要领域。对于MyBatis的部分,虽然在提供的信息中没有提及,但MyBatis是一个...
SpringMVC精品资源--基于 SpringBoot + Spring + SpringMvc+Mybatis+.zip
02-18
SpringMVC精品资源--基于 SpringBoot + Spring + SpringMvc+Mybatis+】 SpringMVCSpring框架的一个模块,主要用于构建Web应用程序。它提供了一种模型-视图-控制器(MVC)架构,使得开发者可以将业务逻辑、数据...
SpringMVC精品资源--JAVA、SpringSpringMVCSpringBoot、Mybatis、Vu.zip
02-18
【标题】"SpringMVC精品资源--JAVA、SpringSpringMVCSpringBoot、Mybatis、Vue.zip" 提供的是一份综合性的IT学习资源,涵盖了Java开发中的多个关键框架和技术,包括SpringSpringMVCSpringBoot以及Mybatis,...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
springboot @WebFilter注解过滤器的实现
08-24
主要介绍了springboot @WebFilter注解过滤器的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
springboot自带filter实现sql防注入过滤器
leveretz的博客
12-29 2493
springboot自带filter实现sql防注入过滤器
Springboot使用CrosXssFilter防止sql注入xss攻击cros跨域等
冰之杍的博客
12-07 1256
Springboot使用CrosXssFilter防止sql注入xss攻击cros跨域等1.编写CrosXssFilter.java,代码如下2.在springbooot的启动类中加入注解@ServletComponentScan 现在的web系统对安全性要求越来越高,常常需要通过第三方的渗透测试才能进行验收,其中就有关于sql注入、xss攻击相关的,此文记录如果在springbooot中进行非侵入的改造,达到能通过sql注入及xss攻击测试的目的。 1.编写CrosXssFilter.java,代码如下
springboot项目防止XSS攻击和sql注入
yy1209357299的博客
02-07 3585
springboot项目防止XSS攻击和sql注入
springboot自带filter实现sql防注入过滤器,可以全路径也可以自己设置过滤路径,还可以在全路径的时候选择放行某些路径不过滤。
qimingzhennan_to的博客
08-15 2696
springboot自带filter实现sql防注入过滤器,可以全路径也可以自己设置过滤路径,还可以在全路径的时候选择放行某些路径不过滤。
springboot使用过滤器
Microhoo_苏福的博客
04-05 9225
过滤器是处于客户端与服务器资源文件之间的一道过滤网,帮助我们过滤一些不符合要求的请求。通常它被用作 Session校验,判断用户权限,如果不符合设定条件,就会被拦截到特殊的地址或者给予特殊的响应。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值