用过滤器防sql注入

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量2k 收藏 6
点赞数 1
分类专栏: 问题集 文章标签: 用过滤器防sql注入 防sql注入 过滤器解决sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzchances/article/details/111631770
版权

使用过滤器是解决sql注入的一种方式,其它可以前端校验处理等

过滤器写法:

package XXX.utils;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Enumeration;

/**
 * sql注入过滤器
 * @Date 2020/12/24
 **/
public class SqlInjectionFilter implements Filter{

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        //获得所有请求参数名
        Enumeration params = req.getParameterNames();

        String sql = "";
        while (params.hasMoreElements()) {
            //得到参数名
            String name = params.nextElement().toString();
            //System.out.println("name===========================" + name + "--");
            //得到参数对应值
            String[] value = req.getParameterValues(name);
            for (int i = 0; i < value.length; i++) {
                sql = sql + value[i];
            }
        }
        //System.out.println("============================SQL"+sql);
        //有sql关键字,跳转到error.html
        if (sqlValidate(sql)) {
            throw new IOException("您发送请求中的参数中含有非法字符");
        } else {
            chain.doFilter(req, res);
        }
    }

    //效验
    protected static boolean sqlValidate(String str) {
        str = str.toLowerCase();//统一转为小写
        //String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like";
        String badStr = "'|and|exec|execute|insert|create|drop|table|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字,可以手动添加
        String[] badStrs = badStr.split("\\|");
        for (int i = 0; i < badStrs.length; i++) {
            if (str.indexOf(badStrs[i]) !=-1) {
                return true;
            }
        }
        return false;
    }

    public void init(FilterConfig filterConfig) throws ServletException {
        //throw new UnsupportedOperationException("Not supported yet.");
    }

    public void destroy() {
        //throw new UnsupportedOperationException("Not supported yet.");
    }

}

web.xml中做配置 

 <filter>
    <filter-name>SqlInjectionFilter</filter-name>
    <filter-class>com.hnac.hzinfo.common.utils.SqlInjectionFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>SqlInjectionFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

 

凌晨两点钟同学
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL注入过滤函数
“小学生”的专栏
01-07 499
今天在google输入"aspx 注入" ,检索到这文章不错,就摘录。我采集的来源http://blog.donews.com/qzzxl/archive/2008/01/04/1243222.aspx不知是否原创。SQL注入过滤函数****************************************************过程名:Check
JSP使用过滤器SQL注入的简单实现
01-08
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有...
C# MVC 过滤器SQL注入
09-15
C# MVC 过滤器SQL注入
SQL注入修复、XSS漏洞 过滤器及Cookie劫持攻击
qq_43420577的博客
05-29 820
然后在WEB.XML里面配置。一、解决sql注入问题。三、cookie劫持。
SpringBoot中如何止XSS攻击和sql注入
最新发布
2302_77596945的博客
05-23 484
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
过滤器实现全局SQL注入
ACGkaka的博客
10-28 4293
目录SqlInjectFilter.javaMyRequestWrapper.java 场景: 公司渗透测试,发现了输入框有SQL注入风险,于是进行修改。 解决方案: 增加全局过滤器,对请求参数中存在SQL过滤器的参数进行提示,主要增加了两个类: SqlInjectFilter,过滤器; MyRequestWrapper,用于过滤器中获取POST请求参数。 SqlInjectFilter.java import com.alibaba.fastjson.JSONObject; import com.
代码审计 | SQL注入过滤器绕过
hackzkaq的博客
11-06 210
FILTER_VALIDATE_EMAIL过滤器不允许在邮件地址中出现空格符号,可以使用/**/来代替。在进行数据库操作时,需要使用PDO预处理的方式,SQL注入漏洞的产生。在示例代码中,用户输入的参数被直接用于执行SQL查询操作,这种方式存在潜在的安全风险。尽管代码中使用了过滤器进行过滤,但这种方式依然不足以止攻击者绕过过滤器,从而导致SQL注入漏洞。RFC不是非常严格,允许使用许多特殊字符。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
springboot自带filter实现sql注入过滤器
leveretz的博客
12-29 2447
springboot自带filter实现sql注入过滤器
java过滤器sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!...外网可能会被攻击,简单的处理可以避免!...
java 过滤器filtersql注入的实现代码
09-01
为了止这种攻击,开发者通常会使用过滤器(Filter)来对用户输入进行预处理,确保输入的数据不会对系统造成危害。本文将详细介绍如何使用Java Filter实现SQL注入的功能。 首先,我们需要创建一个实现了`javax...
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6448
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
解决存储型xss和sql注入漏洞,创建对应的全局过滤器
apple_pingwan的博客
01-13 2677
解决存储型xss和sql注入漏洞,创建对应的全局过滤器
sql注入过滤器
qq_32512945的博客
05-23 1365
package com.tgisserver.cloud.jpamanager.common.filter; import java.io.IOException; import java.util.Enumeration; import java.util.regex.Matcher; import java.util.regex.Pattern; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.ser
springbootsql注入过滤器研发踩坑总结 - HTTP请求的输入流只能读取一次导致的Required request body is missing异常的解决方案
qq_41980872的博客
07-18 474
这篇文章总结了一次Sql注入过滤器开发过程中踩过的坑。包括HTTP请求的输入流只能读取一次导致的Required request body is missing异常的解决方案,以及以深度优先遍历方式获取JSON字符串中每一个字段的值的方式。积累经验,日拱一卒,希望能成为更好的自己~
Java项目SQL注入的方式总结
睡竹的博客
03-02 9513
Java项目SQL注入的方式总结 springboot配置请求过滤器SQL注入 nginxSQL注入 mybatisSQL注入
SQL盲注、SQL注入 - SpringBoot配置SQL注入过滤器
C3Stones
09-17 2365
1. SQL盲注、SQL注入   风险:可能会查看、修改或删除数据库条目和表。原因: 未对用户输入正确执行危险字符清理。固定值: 查看危险字符注入的可能解决方案。 2. pom.xml添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spr...
Java项目SQL注入的四种方案
tigerhhzz的博客
09-28 484
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列此时,数据库的数据都会被清空掉,后果非常严重。
SQL注入一些过滤及绕过总结
热门推荐
weixin_44300286的博客
07-20 1万+
前言: 前几天做了几道SQL注入的题,一上去就遇到这样那样的过滤,弄得我很难受,所以这里写一篇关于过滤一些的总结。 1、过滤关键字 过滤关键字应该是最常见的过滤了,因为只要把关键字一过滤,你的注入语句基本就不起作用了。 绕过方法: (1)最常用的绕过方法就是用/**/,<>,分割关键字 sel<>ect sel/**/ect (2)根据过滤程度,有时候还可以用双写绕过 s...
SQL注入代码实现
lujunxuanlujunxuan的博客
04-09 476
SQL注入代码实现
Net Code 使用过滤器sql注入 展示具体代码
05-19
下面是一个使用过滤器止 SQL 注入的示例代码: ```java public class SqlInjectionFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; String requestUrl = httpRequest.getRequestURL().toString(); if (requestUrl.contains(".jsp") || requestUrl.contains(".html")) { // 仅对 JSP 和 HTML 页面进行过滤 String queryString = httpRequest.getQueryString(); if (queryString != null && !queryString.isEmpty()) { String[] params = queryString.split("&"); for (String param : params) { String[] nameValue = param.split("="); String name = nameValue[0]; if (nameValue.length > 1) { String value = nameValue[1]; if (isSqlInjection(value)) { // 如果存在 SQL 注入则拦截请求 HttpServletResponse httpResponse = (HttpServletResponse) response; httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN); return; } } } } } // 继续执行下一个过滤器或 Servlet chain.doFilter(request, response); } private boolean isSqlInjection(String value) { // 判断是否存在 SQL 注入 // 如果存在则返回 true,否则返回 false // 这里需要根据具体情况编写代码实现 // 比如可以使用正则表达式进行匹配 return false; } @Override public void destroy() { // 销毁资源 } @Override public void init(FilterConfig filterConfig) throws ServletException { // 初始化 } } ``` 在上面的代码中,我们实现了一个名为 `SqlInjectionFilter` 的过滤器,用于拦截所有的 JSP 和 HTML 页面请求,并检查请求参数中是否存在 SQL 注入。如果存在 SQL 注入,就会返回 403 Forbidden 错误,否则继续执行下一个过滤器或 Servlet。 在 `isSqlInjection` 方法中,我们可以根据具体情况编写代码,以判断输入参数是否存在 SQL 注入。比如可以使用正则表达式进行匹配,或使用一些开源的注入工具库,比如 OWASP ESAPI 等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

凌晨两点钟同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值