VUE前端发送post请求,在SQL注入过滤时,后台通过request.getparamter无法获取属性值的解决

最新推荐文章于 2024-06-05 17:11:31 发布
最新推荐文章于 2024-06-05 17:11:31 发布
阅读量1.1k 收藏
点赞数
文章标签: vue.js sql 前端 java servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuningyi/article/details/132182936
版权

最近做vue项目,后端在写sql注入过滤器的时候,遇上vue发送post请求,后端request.getparamter无法获取到传递参数变量的属性值,进过使用postman工具测试分析出

vue前端和post工具传输入数据格式不一致

1.vue前端post请求采用的是json数据格式

2.而用postman测试工具采用的是form表单方式,相当于URL带参数传递

所以导致后端request.getparamter无法获取数据

解决方法:

读取输入流来获取

 post请求不是application/x-www-form-urlencoded的,全部直接返回,不作处理,即不会解析表单数据来放到requestparametermap中。所以通过request.getParameter(name)是获取不到的。只能使用最原始的方式,读取输入流来获取。

而在filter过滤器使用输入流来获取数据的时候,又发生了getInputStream has already been called for this request错误,导致过滤器过不去,登录不进去系统

报错原因:

HttpServletRequest.getReader()
HttpServletRequest.getInputStream() 不能在过滤器中读取一次二进制流(字符流),又在另外一个Servlet中读取一次,即一个InputSteam(BufferedReader)对象在被读取完成后,将无法再次被读取。

也就是从请求中获取流以后,流被filter中的这个 inputStreamToString(InputStream in) 这个方法处理后就被“消耗”了,这会导致,chain.doFilter(request, res)这个链在传递 request对象的时候,里面的请求流为空,导致责任链模式下,其他下游的链无法获取请求的body,从而导致程序无法正常运行,这也使得我们的这个filter虽然可以获取请求信息,但是它会导致整个应用程序不可用

报错解决思路如下:

将取出来的字符串,再次转换成流,然后把它放入到新request 对象中,在chain.doFiler方法中 传递新的request对象;

要实现这种思路,需要自定义一个类继承HttpServletRequestWrapper,然后重写public BufferedReader getReader()方法,public ServletInputStream getInputStream()方法;(这两个方法的重写实现逻辑如下:getInputStream()方法中将body体中的字符串转换为字节流(它实质上返回的是一个ServletInputStream 对象);然后通过getReader()调用---->getInputStream()方法;),继承实现重写逻辑以后,在sql过滤器filter(SqlInjectionFilter)中,使用自定义的HttpServletRequestWrapper(RepeatedlyReadRequestWrapper)将原始的HttpServletRequest对象进行再次封装;再通过RepeatedlyReadRequestWrapper对象去做dofilter(req,res)的req对象;

一、sql过滤代码 SqlInjectionFilter.java

package com.hitek.module.util;

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.net.URLDecoder;
import java.util.ArrayList;
import java.util.Enumeration;
import java.util.List;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.commons.lang.StringUtils;

import com.alibaba.fastjson.JSONObject;
 
public class SqlInjectionFilter implements Filter {
 

	public void destroy() {
		// TODO Auto-generated method stub
		
	}


	public void doFilter(ServletRequest args0, ServletResponse args1,
            FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req=(HttpServletRequest)args0;
        HttpServletResponse res=(HttpServletResponse)args1;
         //获得所有请求参数名
        Enumeration params = req.getParameterNames();
        String sql = "";
        String url = ((HttpServletRequest) req).getRequestURL().toString().trim();
        HttpSession userSession = req.getSession();
        while (params.hasMoreElements()) {
            //得到参数名
            String name = params.nextElement().toString();
            if (StringUtils.isNotBlank(name)) {
            	if (name.equalsIgnoreCase("method") || name.equalsIgnoreCase("fileCode")) {
            		continue;
            	}
            }
            //System.out.println("name===========================" + name + "--");
            //得到参数对应值
            String[] value = req.getParameterValues(name);
            for (int i = 0; i < value.length; i++) {
                sql = sql + value[i];
            }
        }
       //vue请求重新包装一个ServletRequest
        ServletRequest requestWrapper = new RepeatedlyReadRequestWrapper(req);
        String body = HttpHelper.getBodyString(requestWrapper);		    
 		//如果是POST请求则需要获取 param 参数
	   String param = URLDecoder.decode(body,"utf-8");
 		if(param!=null&&!"".equals(param)||"".equals(sql)){
 	        //System.out.println("============================SQL"+sql);
 			sql = param;
 			sql = sql.replaceAll("\\{", "");
 			sql = sql.replaceAll("\\}", "");
 			sql = sql.replaceAll("\"", "");
 			sql = sql.replaceAll(":", "");
 			sql = sql.replaceAll(",", "");
 			if (sqlValidate(sql)) {
                 throw new IOException("您发送请求中的参数中含有非法字符");
                 //String ip = req.getRemoteAddr();
             } else {
            	 chain.doFilter(requestWrapper,args1);
             } 
 		}else{
			if (sqlValidate(sql)) {
             throw new IOException("您发送请求中的参数中含有非法字符");
             //String ip = req.getRemoteAddr();
         } else {
             chain.doFilter(args0,args1);
         }
 		}
	}


	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub
		
	}

	//效验
    protected static boolean sqlValidate(String str) {
        str = str.toLowerCase();//统一转为小写
        String badStr = "and|exec|execute|insert|select|delete|update|count|drop|*|chr|mid|master|truncate|" +
                "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|and|exec|execute|insert|create|drop|" +
                "table|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|like|#";//过滤掉的sql关键字,可以手动添加
        String[] badStrs = badStr.split("\\|");
        for (int i = 0; i < badStrs.length; i++) {
            if (str.indexOf(badStrs[i]) >= 0) {
            	if (!validateSpecialKeyword(badStrs[i],str)) {
            		return true;
            	}
            }
        }
        return false;
    }
    
    private static boolean validateSpecialKeyword(String keyword,String str) {
    	if (StringUtils.isNotBlank(keyword)) {
    		if (StringUtils.isNotBlank(str)) {
    			if (!keyword.equals(";")) {
    				String[] arrStr = splitStr(keyword,str);
    				for (int i = 0; i < arrStr.length; i++) {
    					String s = arrStr[i];
    					if (s.startsWith(keyword)) {
    						if (s.length() == keyword.length()) {
    							continue;
    						}
    						System.out.println(keyword.length()+"-----"+s.charAt(keyword.length()));
    						if (s.charAt(keyword.length()) != ' ') {
    							continue;
    						} else {
    							return false;
    						}
    					}
    				} 
    			} else {
    				String[] arrStr = splitStr(keyword,str);
    				for (int i = 0; i < arrStr.length; i++) {
    					String s = arrStr[i];
    					System.out.println("s.length=====>"+s.length());
    					if (s.startsWith(keyword)) {
    						if (s.length() == keyword.length()) {
    							continue;
    						}
    						if (s.charAt(keyword.length()) == '*') {
    							continue;
    						} else {
    							return false;
    						}
    					}
    				} 
    			}
    		}
    	}
    	return true;
    }
    
    private static String[] splitStr(String keyword,String str) {
    	List<String> sList = new ArrayList<String>();
    	String s = str;
    	int nu = -1;
    	Character c = null;
    	while ((nu = s.indexOf(keyword)) >= 0) {
    		String tmpStr = "";
    		if (c != null) {
    			tmpStr = c.toString();
    			tmpStr += s.substring(0,nu);
    		} else {
    			tmpStr = s.substring(0,nu);
    		}
    		s = s.substring(nu);
    		c = s.charAt(0);
    		s = s.substring(1);
    		sList.add(tmpStr);
    	}
    	if (c != null) {
    		sList.add(c.toString() + s);
    	} else {
    		sList.add(s);
    	}
    	
    	String[] arr = new String[sList.size()];
    	sList.toArray(arr);
    	return arr;
    }
    
}

重新包装类:RepeatedlyReadRequestWrapper.java

package com.hitek.module.util;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import java.io.*;
import java.nio.charset.Charset;
import java.util.Enumeration;

/**
 * @author zhuningyi
 * @desc 重复读取HttpServletRequest reader/inputstream
 * @date 2023/8/9
 */
public class RepeatedlyReadRequestWrapper extends HttpServletRequestWrapper {

	private final byte[] body;

    public RepeatedlyReadRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        System.out.println("-------------------------------------------------");  
        Enumeration e = request.getHeaderNames()   ;  
         while(e.hasMoreElements()){  
             String name = (String) e.nextElement();  
             String value = request.getHeader(name);  
             System.out.println(name+" = "+value);  
               
         }  
        body = HttpHelper.getBodyString(request).getBytes(Charset.forName("UTF-8"));
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {

        final ByteArrayInputStream bais = new ByteArrayInputStream(body);

        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bais.read();
            }
        };
    }

	@Override
	public String getHeader(String name) {
		return super.getHeader(name);
	}

	@Override
	public Enumeration<String> getHeaderNames() {
		return super.getHeaderNames();
	}

	@Override
	public Enumeration<String> getHeaders(String name) {
		return super.getHeaders(name);
	}
}

HttpHelper.java

package com.hitek.module.util;

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.nio.charset.Charset;

import javax.servlet.ServletRequest;

public class HttpHelper {
	/**
     * 获取请求Body
     *
     * @param request
     * @return
     */
    public static String getBodyString(ServletRequest request) {
        StringBuilder sb = new StringBuilder();
        InputStream inputStream = null;
        BufferedReader reader = null;
        try {
            inputStream = request.getInputStream();
            reader = new BufferedReader(new InputStreamReader(inputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        return sb.toString();
    }
}

zhuningyi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
request.getParameter()获取不到数据的问题
怡然自得
05-29 4672
最近做项目,发现手机客户端通过http协议post方式上传数据到服务端,在服务器端通过request.getInputStream()能获取到相应的数据,但用request.getParameter()却获取不到数据。这是怎么回事呢,后来发现这种情况跟form表单的属性 enctype有关系。 HTML中的form表单有一个关键属性 enctype=application/x-www-form...
Vue发送Get 和 Post 请求以及获取数据
qq_59833893的博客
02-02 2129
注意以下代码是请求处理request.js。
解决当FORM的ENCTYPE="multipart/form-data" request.getParameter()获取不到的方法 ?
09-07
解决当FORM的ENCTYPE="multipart/form-data" request.getParameter()获取不到的方法 ?
form表单提交请求参数后台request.getParameter(““);获取不到[记录日志]
最新发布
xiexinxx0225的博客
06-05 152
form表单提交请求参数后台获取不到,只能获取到一部分,将form表单隐藏一些参数就能获取到了,分析问题怀疑是请求参数太多导致,后查找资料需要设置tomcat配置。改完重启服务,提交后,后台request.getParameter("");maxParameterCount : 最大请求参数个数,-1为不限制。maxPostSize:最大请求大小,-1为不限制。
解决post请求httpServletRequest对象.getParameter获取不到参数!
TangMonk的博客
07-27 3777
httpServletRequest对象.getParameter()接收post请求参数
request.getParementer()获取不到的原因及解决办法
yuluolishang的博客
08-18 2万+
想通过ajax的POST方式把前端传到后端,却发现后端request.getParameter()获取不到.$(document).ready(function () { $("button").click(function () { var userinfo=[ {"username":"test1"}, {"userna
解决Vue axios post请求,后台获取不到数据的问题方法
10-18
然而,有可能会遇到一些问题,比如在发送POST请求,后端无法正确获取到数据。本文将详细讲解如何解决Vue axios POST请求后台获取不到数据的问题。 首先,让我们了解一下axios的基本用法。在Vue中,axios...
express后台post请求接收数据req.body为空
01-03
这是页面效果,可以看到请求发送成功了,也能拿到前端页面发送过来的。 但是,后台打印req.body的打印的为空 然后我看了很久文档,最终发现,只需要用json解析一下就好了,可能还是自己学的不扎实吧. app.use...
vue 基于axios封装request接口请求——request.js文件
m0_67393593的博客
03-03 2345
目录 了解几个Content-type类型 第一种:application/json;charset=UTF-8 第二种:multipart/form-data 第三种: application/x-www-form-urlencoded 第一步新建request.js文件 第二步新建services/apiUrl文件 第三步新建services/index.js文件 最后如何使用封装好的request请求 了解几个Content-type类型 **Content-type类型:**代表发送端(客户端|服
request.getParameter("key")获取不到得原因
liuhaiquan123521的博客
11-29 2万+
客户端发送请求代码片段: public Map HttpPost(String url, Map parameter) { try { org.apache.http.client.HttpClient httpClient = null; if (StringUtils.isBlank(url)) { throw new RuntimeException(&amp;amp;quot;url为空!&amp;amp;quot;); ...
关于request.getParameter()读取不了POST数据的解决方法
MizarMa
03-09 4003
一、 问题原因 POST表单数据正常来说和get方法一样是可以用request.getParameter(字段名)来获得数据的。但由于POST请求原生代码中字符串的要求,使用application/json请求头的候是获取不到的。 二、解决方法 1. 使用@RequesBody 来接收post数据 2. 使用request中的getInputStream来获取数据‘ 注:使用上述方法,数据流只能截取一次,如果需要多次截取,得重新包装下request。 ...
request.getParameter()取为空的问题
热门推荐
斌斌(Java)
05-10 4万+
本文主要解决form表单属性enctype为multipart/form-datarequest.getParameter()取为空的问题刚修改一个静态页面,在Servlet里面用request.getParameter()方法获取页面参数无论如何都只是获得null。可是,新建一个简单的带form的jsp页面测试却可以正常获得页面参数。我是郁闷啊!向人求救,被告知是没有添加metho
request.getParameter()不能获得
weixin_30642561的博客
05-28 432
    在调试汇付接口的过程中,接收返回的参数request.getParameter()获取参数候,获得的为null。 搜索资料说这种情况跟form表单的属性 enctype有关系。当form表单内容采用enctype=multipart/form-data编码, 调用request.getParameter()获取不到数据。可以通过request.getInputStream()...
request.getParameter("key")拿不到的问题
生活不止眼前的苟且
03-16 2534
今天在写一个form表单的候,提交到后台之后发现使用request.getParameter()拿到的全部为null 错误原因是这个form表单中有一个文件(图片)上传的项,form表单中有一个属性enctype="multipart/form-data"。 &lt;form name="articleform" class="form-horizontal" action="${pag...
jsp页面传问题request.getParameter无法取到jsp页面的
圣米格利托
11-11 1388
  jsp页面传问题request.getParameter无法取到jsp页面的 1、首先确定 &lt;%=id%&gt;和 &lt;%=name%&gt; 两不为NULL2、再次确定&lt;input type="hidden" name="id" id="id" value=" &lt;%=id%&gt;"&gt;  和&amp
Postman 在使用post方式提交表单后使用request.getParameter 无法获取参数
weixin_30713953的博客
05-03 2096
最近项目使用postman模拟测试接口调用,get方式没有问题。但是测试post候,使用request.getParameter获取参数获取不到参数。 代码端更换了很多种写法,都获取不到参数信息。包括会用bean对象接口,使用@RequestParam 绑定参数入参 。 后台在debug到request详细信息的候 注意到request的content-type参...
Request.Params引起的获取不到参数
Carey
06-06 1万+
今天很奇怪的发现了.net Request.Params获取参数失败,改成Request.QueryString就正常了。运行环境是.net4.0。今天的BUG来自于本人只是短浅的了解只用来接收参数而已,没发现原来使用起来还真不一样。先让我们了解一下request.params其实是一个集合,它依次包括request.querystring、request.form、request.cookies...
getParameter不到
Trigl的博客
12-30 7944
问题今天做一个demo,第一步就出错了,就是用getParameter怎么都取不到前端表单提交过来的,我检查了所有的配置发现都是正常的,平都不算问题的问题把我困惑了。我的提交代码如下:<form action="upfiles.html" method="post" enctype="multipart/form-data">解决方法最后静下心来决定从前端到后端完整定位一下问题,在提交候发现表
Vue.js 通过 Axios 发送 POST 请求触发加载动画
04-03
可以通过在发送 POST 请求,在请求头中添加一个标记,然后在接收响应再移除这个标记。在 Vue.js 中,可以使用 Axios 的拦截器来实现这个功能。 首先,在 Vue.js 中引入 Axios: ```javascript import axios from 'axios'; ``` 然后,定义一个 Axios 实例: ```javascript const axiosInstance = axios.create({ baseURL: 'http://example.com/api', timeout: 5000, headers: { 'Content-Type': 'application/json' } }); ``` 接下来,在 Axios 实例中添加请求拦截器: ```javascript axiosInstance.interceptors.request.use(config => { // 在请求头中添加一个标记 config.headers['X-Loading'] = true; return config; }, error => { return Promise.reject(error); }); ``` 在请求拦截器中,可以在请求头中添加一个名为 X-Loading 的标记。这个标记的可以是任意,我们可以通过这个标记来判断是否需要显示加载动画。 接着,在 Axios 实例中添加响应拦截器: ```javascript axiosInstance.interceptors.response.use(response => { // 移除请求头中的标记 delete response.config.headers['X-Loading']; return response; }, error => { delete error.config.headers['X-Loading']; return Promise.reject(error); }); ``` 在响应拦截器中,可以移除请求头中的 X-Loading 标记。 最后,在 Vue.js 中使用 Axios 发送 POST 请求,可以在发送请求前显示加载动画,在接收响应隐藏加载动画: ```javascript export default { data() { return { loading: false }; }, methods: { async submitForm() { try { this.loading = true; await axiosInstance.post('/login', { username: 'test', password: 'test' }); this.loading = false; } catch (error) { this.loading = false; console.log(error); } } } }; ``` 在 Vue.js 组件中,可以定义一个 loading 变量来控制加载动画的显示和隐藏。在调用 Axios 的 post 方法,可以先将 loading 变量设置为 true,表示正在加载中。在接收响应,再将 loading 变量设置为 false,表示加载完成。如果发生错误,也需要将 loading 变量设置为 false。 在模板中可以使用 loading 变量来控制加载动画的显示和隐藏: ```html <template> <div> <form @submit.prevent="submitForm"> <input type="text" v-model="username" placeholder="Username"> <input type="password" v-model="password" placeholder="Password"> <button type="submit">Submit</button> </form> <div v-if="loading">Loading...</div> </div> </template> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值