SpringBoot 之 SpringMVC 实现SQL注入过滤 完整版(支持POST请求和GET请求)

最新推荐文章于 2024-07-13 11:12:35 发布
最新推荐文章于 2024-07-13 11:12:35 发布
阅读量4.6k 收藏 10
点赞数
分类专栏: 微服务springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouzhiwengang/article/details/101032584
版权

首先请参考:SpringBoot 之 SpringMVC拦截器从Request中获取参数并解决request的请求流只能读取一次的问题

参考完上面的代码,现在开始编辑SQL注入拦截器,核心功能代码如下:

package com.digipower.erms.interceptor;

import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.util.ArrayList;
import java.util.Date;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.commons.lang.StringEscapeUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.LocalVariableTableParameterNameDiscoverer;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import com.alibaba.druid.util.StringUtils;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.ctc.wstx.util.StringUtil;
import com.digipower.erms.annotation.SysLog;
import com.digipower.erms.api.LogRecordService;
import com.digipower.erms.common.cache.RedisUtil;
import com.digipower.erms.common.model.Result;
import com.digipower.erms.domain.LogRecord;
import com.digipower.erms.request.wrapper.SQLInjectionHttpServletRequestWrapper;
import com.digipower.erms.util.HttpContextUtils;
import com.digipower.erms.util.HttpUtils;
import com.digipower.erms.util.SecurityUtils;

/**
 * 全局拦截器
 */
public class ErmsInterceptor extends HandlerInterceptorAdapter {

    private static final Logger log = LoggerFactory.getLogger(ErmsInterceptor.class);
    
    @Autowired
	private LogRecordService service;
    
    @Autowired
	SecurityUtils securityUtils;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    	log.debug("ErmsInterceptor start pre ...");
    	String method = request.getMethod();
    	if("POST".equals(method)){
    		SQLInjectionHttpServletRequestWrapper wrapper = new SQLInjectionHttpServletRequestWrapper(request);
    		String requestBody = wrapper.getRequestBodyParame();
    		if(!StringUtils.isEmpty(requestBody)){
    			//sql注入直接拦截
				if(sqlInject(requestBody.toLowerCase())){ 
					 // 补全拦截器过滤用户登入信息
					 if (handler instanceof HandlerMethod) {
						 HandlerMethod h = (HandlerMethod) handler;
						 insertLogRecord(h,requestBody); 
					 }
					response.setContentType("text/html;charset=UTF-8");  
					response.getWriter().print(JSON.toJSONString(Result.ok("-3","请求异常").setData("error-message", "参数含有非法攻击字符,已禁止继续访问")));  
					return false;  
				}
    		}  
    	} else {
    		Enumeration<String> names = request.getParameterNames(); 
    		// 请求参数转换JSON 对象
			List<Map> container = new ArrayList<Map>();
			while(names.hasMoreElements()){
				Map<String,String> map = new HashMap<String,String>();
				String key = names.nextElement();
				String value = request.getParameter(key);
				map.put(key, value);
				container.add(map);
			}
			String requestBody = JSON.toJSONString(container);
			
    		while(names.hasMoreElements()){  
    			String name = names.nextElement();  
    			String[] values = request.getParameterValues(name);  
    			for(String value: values){
    				//sql注入直接拦截
    				if(sqlInject(value.toLowerCase())){
    					 // 补全拦截器过滤用户登入信息
    					if(handler instanceof HandlerMethod){
    						HandlerMethod h = (HandlerMethod) handler;
    						insertLogRecord(h,requestBody); 
    					}
    					
    					response.setContentType("text/html;charset=UTF-8");  
    					response.getWriter().print(JSON.toJSONString(Result.ok("-3","请求异常").setData("error-message", "参数含有非法攻击字符,已禁止继续访问")));  
    					return false;  
    				}
    				// 脚本注入XSS
    				StringEscapeUtils.escapeHtml(value);
    				StringEscapeUtils.escapeHtml(value);
    			}  
    		}  
    	}

        //TODO 
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        super.postHandle(request, response, handler, modelAndView);
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        super.afterCompletion(request, response, handler, ex);
    }

    @Override
    public void afterConcurrentHandlingStarted(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        super.afterConcurrentHandlingStarted(request, response, handler);
    }
    
    /**
     * 
     * @Title: sqlInject   
     * @Description: TODO SQL 注入正在表达式(sql 函数关键字过滤)
     * @param: @param value
     * @param: @return      
     * @return: boolean      
     * @throws
     */
    public boolean sqlInject(String value){  
        if(value == null || "".equals(value)){  
            return false;  
        }  
        String regex =".*(select|update|union|and|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|drop|execute|[+]|%).*";
        boolean isMatch = Pattern.matches(regex, value);
        return isMatch;  
    }
    
    public void insertLogRecord(HandlerMethod handlerMethod,String queryParame){
    	LogRecord record = new LogRecord();
    	SysLog sysLog = handlerMethod.getMethodAnnotation(SysLog.class);
    	if (sysLog != null) {
            // 注解上的描述
        	record.setLogType(Short.valueOf("-1"));
        	record.setLogDesc(sysLog.value());
        }
    	String className = handlerMethod.getClass().getName();
        String methodName = handlerMethod.getMethod().getName();
    	record.setClassMethod(className + "." + methodName + "()");
    	// 请求参数
    	record.setParames(queryParame);
    	// 请求地址
        HttpServletRequest request = HttpContextUtils.getRequest();
        String ip = HttpUtils.getIpAddress(request);
        record.setIpAddress(ip);
        
        // 操作用户
       String username = securityUtils.getAuthUserPin(request);
       record.setUsername(username);
       
       // 创建时间
       record.setCreateTime(new Date()); 
       service.insert(record);
    }
}

springboot 配置拦截器:

package com.digipower.ucas.config;
 
import java.util.ArrayList;
import java.util.List;
 
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;
 
import io.swagger.annotations.ApiOperation;
import springfox.documentation.builders.ApiInfoBuilder;
import springfox.documentation.builders.ParameterBuilder;
import springfox.documentation.builders.PathSelectors;
import springfox.documentation.builders.RequestHandlerSelectors;
import springfox.documentation.schema.ModelRef;
import springfox.documentation.service.ApiInfo;
import springfox.documentation.service.Contact;
import springfox.documentation.service.Parameter;
import springfox.documentation.spi.DocumentationType;
import springfox.documentation.spring.web.plugins.Docket;
import springfox.documentation.swagger2.annotations.EnableSwagger2;
 
@Configuration
@EnableSwagger2
@EnableWebMvc
public class SwaggerConfig extends WebMvcConfigurerAdapter {
 
	@Override
	public void addResourceHandlers(ResourceHandlerRegistry registry) {
		registry.addResourceHandler("swagger-ui.html").addResourceLocations("classpath:/META-INF/resources/");
		registry.addResourceHandler("/webjars/**").addResourceLocations("classpath:/META-INF/resources/webjars/");
	}
	
	// 定义json 转换器
	@Override
	public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
		// TODO Auto-generated method stub
		super.configureMessageConverters(converters);
	}
 
	@Bean
	public Docket buildDocket() {
 
		ParameterBuilder tokenPar = new ParameterBuilder();
		List<Parameter> pars = new ArrayList<Parameter>();
		tokenPar.name("X-CSRF-TOKEN").description("令牌").modelRef(new ModelRef("string")).parameterType("header")
				.required(false).build();
		pars.add(tokenPar.build());
 
		return new Docket(DocumentationType.SWAGGER_2).select()
				.apis(RequestHandlerSelectors.withMethodAnnotation(ApiOperation.class)).paths(PathSelectors.any())
				.build().globalOperationParameters(pars).apiInfo(buildApiInf());
	}
 
	
 
	private ApiInfo buildApiInf() {
		return new ApiInfoBuilder().title("深圳市世纪伟图科技开发有限公司 - 城建档案系统").termsOfServiceUrl("http://www.digipower.cn/")
				.description("API接口")
				.contact(new Contact("digipower", "http://www.digipower.cn/", "digiservices@digipower.com"))
				.version("2.0").build();
 
	}
	
	    //SQL注入拦截器
		@Bean
		public ErmsInterceptor sqlInjectInterceptor () {
			return new ErmsInterceptor ();
		}
	 
		@Override
		public void addInterceptors(InterceptorRegistry registry) {// 2
			registry.addInterceptor(sqlInjectInterceptor());
		}
}

 

在奋斗的大道
关注
专栏目录
SpringMVC 处理post请求
Skyhaohao的博客
08-12 2349
SpringMVC 处理post请求1. 前端页面2. 创建实体类Student3. 控制层 StudentController 1. 前端页面 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>学生信息管理系统</title> <style> body{ font-size: 15px; } input[type=
mybatis-spring-springMVC-springBoot总结
m0_55668402的博客
04-23 814
mybatis-spring-springMVC-springBoot特点区别 介绍 第一节 mybatis 1、mybatis简介 MyBatis原本是Apache软件基金会的一个开源项目叫iBatis,2010年这个项目由Apache迁移到了google code上来管理并改名为MyBatis,2013年又迁移到了Github。 MyBatis是一个非常优秀的持久层框架(DAO层框架),它是对JDBC的封装,使得开发者只需要关注SQL语句(业务)本身即可,无需开发者处理加载驱动、获取连接、创建State
SpringBoot 防止XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3499
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSS和SQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
Spring Boot实战:防范SQL注入攻击的综合策略与实例
最新发布
kiingking的博客
07-13 341
在Spring Boot中防止SQL注入攻击涉及到几个关键步骤,主要是通过使用参数化查询、预编译语句、ORM框架以及输入验证和清理机制。
SpringBootSpringMVC 常用配置--SQL注入
zhouzhiwengang的专栏
09-19 1098
应用场景:SpringMVC 发送get 请求方式,进行参数的sql 注入攻击清理,如果是post请求方式,这段代码是无法正常使用。 拦截器作用: 拦截器Interceptor实现对每一个请求处理前后进行相关的业务处理。类似于Servlet的Filter。 第一种方式:可以让普通的bean实现HandlerInterceptor接口或者继承HandlerInterceptor...
Spring MVC 如何防止XSS、SQL注入攻击
海浪博客|技术|游戏|生活|随心
05-08 2252
在Web项目中,通常需要处理XSS,SQL注入攻击,解决这个问题有两个思路:   在数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原 在显示的时候对非法字符进行转义 如果项目还处在起步阶段,建议使用第二种,直接使用jstl的标签即可解决非法字符的问题。当然,对于Javascript还需要自己处理一下,写一个方法,在解析从服务器端获取的数据时执行以下escapeHTML
基于springboot的sql防注入过滤
weixin_42023748的博客
01-06 1466
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。urlPatterns:表示过滤的范围," /* "表示过滤所有请求路径,"/project/user/login" 则表示过滤http://localhost:8080/project/user/login这个路径的请求
SpringMvc拦截器,统一异常拦截,非法sql拦截(小白易懂版
weixin_52293201的博客
05-27 520
SpringMVC中的interceptor拦截器,它主要的作用是拦截指定的用户请求,并进行相应的预处理与后处理。其拦截的时间点在“处理器映射器根据用户提交的请求映射出了所要执行的处理器类,并且也找到了要执行该处理器类的处理器适配器,在处理器适配器执行处理器之前。”当然处理器映射器映射出所要执行的处理器类时,已经将拦截器与处理器组合为了一个处理器执行链,并返回给了中央调度器。
SpringBoot+SpringMVC+Mybatis实现学生选课信息列表删除搜索
10-29
3. 创建Spring MVC的Controller:处理HTTP请求,如GET请求用于显示选课列表,POST请求用于添加新记录,DELETE请求用于删除记录,以及GET请求用于搜索特定条件的选课信息。 4. 使用Service层:在Controller和Mapper...
SpringBoot第 3 讲:SpringBoot集成MyBatis+SpringMVC
08-10
4. 映射视图和URL:使用@RequestMapping注解定义请求映射,可以指定GET、POST等HTTP方法,也可以使用通配符匹配多种URL。 总的来说,Spring Boot集成MyBatis和Spring MVC,可以创建出高性能、易于维护的Web应用。...
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
Springboot+hibernate 操作原生sql语句实现建表,插入数据和查询数据
qq_36666181的博客
05-29 6909
先看配置文件 spring: datasource: url: (你的数据库地址) username: (用户名) password: (密码) driver-class-name: com.mysql.jdbc.Driver jpa: show-sql: true hibernate: ddl-auto: update ...
spirngmvc解决SQL注入
qq_34840285的博客
12-03 1293
SpringMVC解决SQL注入 参考自 [spring解决SQL注入问题:自定义拦截器][https://blog.csdn.net/lj1548259095/article/details/53405088] 一、简介 一个开发好的系统,如果没有增加防SQL注入,那么别人可能会通过SQL注入去对数据库进行非法操作。所以增加防SQL注入就显的比较关键。 二、解决思路 在配置类中设置SQL注入拦截器,通过判断用户输入的参数中是否包含非法攻击性字符来拦截请求。 三、具体实现 1、创建一个拦截器 packa
springboot自带filter实现sql防注入过滤
leveretz的博客
12-29 2539
springboot自带filter实现sql防注入过滤
SpringBoot项目防止Sql注入拦截器
qq_29991719的博客
12-08 1617
防止Sql注入拦截器
Springboot集成防sql注入设置
hao_kkkkk的专栏
10-21 3260
sql注入 安全开发 springboot
spring mysql防注入攻击_springmvcsql注入 最简单最直接的方式
weixin_29419979的博客
01-27 659
一直以来服务器没有被攻击过,前一段时间忽然发现数据库中多了很多垃圾数据,很明显是被sql注入的行为,看来是时候要认真起来了。首先,什么是sql注入,度娘一下一大堆,官方语言我就不多说了,说说我自己的理解吧。sql注入就是通过url或者post提交数据时候,字符串类型的参数会被别人利用传入sql语句,最终破坏数据库或者达到一些见不得人的目的。有时候因为业务需要url中会带一些参数,比如 ?type...
请按照自己的理解,对照《Springboot初级课件》,描述SpringBoot整合SpringMVC+MyBatis的步骤,及如何实现插入用户的功能,要求有步骤,代码,截图
06-10
整合SpringMVC和MyBatis是Spring Boot的一个常见应用场景。下面是整合SpringMVC和MyBatis的步骤: 1. 创建一个Spring Boot项目,可以使用Spring Initializr快速创建一个Maven项目。 2. 在pom.xml文件中添加Spring ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值