java防止SQL注入

最新推荐文章于 2024-06-06 14:27:33 发布
最新推荐文章于 2024-06-06 14:27:33 发布
阅读量1.2k 收藏
点赞数 2
分类专栏: # java相关 文章标签: java sql 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwjzone/article/details/129447213
版权

前言

这里常用的方法就不说了,#{}预编译不说,但是如果我们不得不用${}来传递参数,那就有点麻烦了,另外,一般我们会用到druid自带的sql注入过滤:
在这里插入图片描述
但是经过测试发现,这个方法并不能完全屏宾sql注入,比如:

select * from user where state=${state}
state传递 1 or state=2 这样就能跳过druid的检查

所以,还是需要我们自己自定义过滤拦截。

自定义拦截器

/**
 * 防止SQL注入的拦截器
 *
 * @author scott
 * @time 2018-05-21
 */
@Slf4j
public class SqlInjectInterceptor implements HandlerInterceptor {

	@Override  
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object arg2, Exception arg3)  
            throws Exception {  
        // TODO Auto-generated method stub  

    }  

    @Override  
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object arg2, ModelAndView arg3)  
            throws Exception {  
        // TODO Auto-generated method stub  

    }  

    @Override  
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object arg2) throws Exception {
    	//常规业务操作(无SQL值情况), 针对数据库SQL操作,进行开发者权限控制,防止SQL注入
        Enumeration<String> names = request.getParameterNames();  
        while(names.hasMoreElements()){  
            String name = names.nextElement();  
            String[] values = request.getParameterValues(name);  
            for(String value: values){
                //sql注入直接拦截
                if(judgeSQLInject(value.toLowerCase())){
                	log.info("-----------Sql注入拦截-----------name: "+name+" -------------value:"+ value);
                    response.setContentType("text/html;charset=UTF-8");  
                    response.getWriter().print("参数含有非法攻击字符,已禁止继续访问!");  
                    return false;  
                }
                //跨站xss清理
                clearXss(value);
            }  
        }  
        return true;  
    }  

    /** 
     * 判断参数是否含有攻击串 
     * @param value 
     * @return 
     */  
    public boolean judgeSQLInject(String value){
        if(value == null || "".equals(value)){  
            return false;  
        }  
        String xssStr = "and |or |select |update |delete |drop |truncate |%20|=|--|!=";  
        String[] xssArr = xssStr.split("\\|");  
        for(int i=0;i<xssArr.length;i++){  
            if(value.indexOf(xssArr[i])>-1){  
                return true;  
            }  
        }  
        return false;  
    }

    /**
     * 处理跨站xss字符转义
     *
     * @param value
     * @return
     */
    private String clearXss(String value) {
    	log.debug("----before--------处理跨站xss字符转义----------"+ value);
        if (value == null || "".equals(value)) {
            return value;
        }
        value = value.replaceAll("<", "<").replaceAll(">", ">");
        value = value.replaceAll("\\(", "(").replace("\\)", ")");
        value = value.replaceAll("'", "'");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']",
                "\"\"");
        value = value.replace("script", "");
        
        //为了用户密码安全,禁止列表查询展示用户密码----------
        value = value.replace(",password","").replace("password","");
        log.debug("----end--------处理跨站xss字符转义----------"+ value);
        return value;
    }
}

@Configuration
public class WebMvcConfiguration implements WebMvcConfigurer 

	@Bean
	public SqlInjectInterceptor sqlInjectInterceptor(){
		return new SqlInjectInterceptor();
	}

	@Override
	public void addInterceptors(InterceptorRegistry registry) {
		registry.addInterceptor(sqlInjectInterceptor()).addPathPatterns("/**");
	}
}

ok,这样就差不多了,欢迎指正

码里法
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java防止SQL注入的几个途径
12-14
Java 防止 SQL 注入的几个途径 Java 防止 SQL 注入是一个非常重要的安全问题。SQL 注入攻击是黑客最常用的攻击方式之一,它可以让攻击者访问或修改数据库中的敏感信息。因此,防止 SQL 注入是 Java 开发者必须注意...
Java项目如何防止SQL注入的四种方案
IT小辉同学
10-09 1105
那一片叶,纷飞在长安的旧街,她站在南墙,我隔着北巷。。。。。。
推荐几个Java项目防止SQL注入的方法
Javaの甘乃迪的博客
10-06 771
Java项目防止SQL注入的几种方案
Java 项目防止 SQL 注入的四种方案
最新发布
qq_32885471的博客
06-06 550
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重。
Java项目防止SQL注入的方式总结
睡竹的博客
03-02 9576
Java项目防止SQL注入的方式总结 springboot配置请求过滤器防止SQL注入 nginx防止SQL注入 mybatis防止SQL注入
java解决sql注入完整的工具类
sunrj_niu的博客
08-06 2328
【代码】java解决sql注入完整的工具类。
过滤器实现全局防SQL注入
ACGkaka的博客
10-28 4477
目录SqlInjectFilter.javaMyRequestWrapper.java 场景: 公司渗透测试,发现了输入框有SQL注入风险,于是进行修改。 解决方案: 增加全局过滤器,对请求参数中存在SQL过滤器的参数进行提示,主要增加了两个类: SqlInjectFilter,过滤器; MyRequestWrapper,用于过滤器中获取POST请求参数。 SqlInjectFilter.java import com.alibaba.fastjson.JSONObject; import com.
防止SQL注入
AgonyAngela的博客
03-30 2049
防止SQL注入
SpringBoot 防止XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3415
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSS和SQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
java防止sql注入.pdf
12-09
Java编程中,防止SQL注入是一项至关重要的安全措施。SQL注入是黑客利用应用程序不恰当处理用户输入的SQL语句,从而执行恶意SQL命令的一种攻击方式。这种攻击可能导致数据泄露、数据库破坏甚至整个系统的瘫痪。以下...
java过滤器防sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
Java面试题解析之判断以及防止SQL注入
08-28
Java防止SQL注入是目前软件开发中非常重要的一个安全问题,SQL注入攻击是目前黑客最常用的攻击手段,它的原理是利用数据库对特殊标识符的解析强行从页面向后台传入,改变SQL语句结构,达到扩展权限、创建高等级用户...
SQL防注入
weixin_44693449的博客
10-28 424
SQL 防止SQL注入的五种方法 一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面...
Java防止SQL注入(通过Filter过滤器功能进行拦截)
qq_37272886的博客
05-18 6517
前言 contentType=multipart/form-data的header以文件流的的形式上传文件时,如果代码中使用了Filter,会出现无法用Filter 中用ServletRequest.getParameter 方法取不到一并提交上来的参数 multipart/form-data格式: package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import java.
java防止xss脚本注入攻击,采用spring工具类方式(Acunetix Web Vulnerability Scanner 10.5测试有效)
辉少的博客
01-24 2657
1. pom添加依赖 &lt;dependency&gt; &lt;groupId&gt;org.apache.tomcat&lt;/groupId&gt; &lt;artifactId&gt;tomcat-servlet-api&lt;/artifactId&gt; &lt;version&gt;8.0.36&lt;/version&gt; &lt;sc
如何防御Java中的SQL注入
xsharkrasp的博客
05-26 259
SQL注入(也称为SQLi)是指攻击者成功篡改Web应用输入,并在该应用上执行任意SQL查询。此种攻击通常会利用编程语言用来括住字符串的转义字符。攻击者想方设法用表单字段或URL参数向应用注入额外的SQL代码进而获得在目标数据库上执行未经授权的操作的能力。图1:SQL注入原理SQL注入是Web应用最常遭受攻击类型之一;此外,还有许多安全威胁是Java开发人员应该注意的,包括:恶意JarXSS注入Java LDAP注入XPath注入SecurityManager漏洞1、识别第三方漏洞。
java实战:防止SQL注入常用方法及代码示例
oandy0的博客
02-15 1820
本文将介绍几种在Java防止SQL注入的常用方法,并提供详细的代码示例。我们将探讨使用预编译的SQL语句(Prepared Statements)、使用ORM框架、使用SQL模板引擎和参数化查询等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范SQL注入攻击。
java 防止sql注入
09-19
Java中有几种方法可以防止SQL注入。一种常见的方法是使用PreparedStatement。PreparedStatement是预编译的SQL语句,可以在执行之前将输入参数作为参数绑定到SQL语句中,而不是将输入参数直接拼接到SQL语句中。这样...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值