2. 程式人生 > 其它 >用過濾器防sql注入

用過濾器防sql注入

阿新 發佈:2020-12-25

技術標籤:問題集用過濾器防sql注入防sql注入過濾器解決sql注入

使用過濾器是解決sql注入的一種方式,其它可以前端校驗處理等

過濾器寫法:

package XXX.utils;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Enumeration;

/**
 * sql注入過濾器
 * @Date 2020/12/24
 **/
public class SqlInjectionFilter implements Filter{

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        //獲得所有請求引數名
        Enumeration params = req.getParameterNames();

        String sql = "";
        while (params.hasMoreElements()) {
            //得到引數名
            String name = params.nextElement().toString();
            //System.out.println("name===========================" + name + "--");
            //得到引數對應值
            String[] value = req.getParameterValues(name);
            for (int i = 0; i < value.length; i++) {
                sql = sql + value[i];
            }
        }
        //System.out.println("============================SQL"+sql);
        //有sql關鍵字,跳轉到error.html
        if (sqlValidate(sql)) {
            throw new IOException("您傳送請求中的引數中含有非法字元");
        } else {
            chain.doFilter(req, res);
        }
    }

    //效驗
    protected static boolean sqlValidate(String str) {
        str = str.toLowerCase();//統一轉為小寫
        //String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like";
        String badStr = "'|and|exec|execute|insert|create|drop|table|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//過濾掉的sql關鍵字,可以手動新增
        String[] badStrs = badStr.split("\\|");
        for (int i = 0; i < badStrs.length; i++) {
            if (str.indexOf(badStrs[i]) !=-1) {
                return true;
            }
        }
        return false;
    }

    public void init(FilterConfig filterConfig) throws ServletException {
        //throw new UnsupportedOperationException("Not supported yet.");
    }

    public void destroy() {
        //throw new UnsupportedOperationException("Not supported yet.");
    }

}

web.xml中做配置

 <filter>
    <filter-name>SqlInjectionFilter</filter-name>
    <filter-class>com.hnac.hzinfo.common.utils.SqlInjectionFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>SqlInjectionFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

相關推薦

過濾器sql注入

技術標籤:問題集過濾器sql注入sql注入過濾器解決sql注入 使用過濾器是解決sql注入的一種方式,其它可以前端校驗處理等

request請求的body中的引數(json物件)只能取出一次,引數丟失問題的解決方式(sql注入過濾器的應用)

在專案即將上線的滲透測試報告中檢測出了sql注入的問題,關於這個問題的解決方案,最初的思路是寫一個全域性的過濾器,對所有請求的引數進行過濾攔截,如果存在和sql注入相關的特殊字元則攔截掉,具體細節展開以下

建造者模式實現一個SQL注入的ORM框架

本文節選自《設計模式就該這樣學》 1建造者模式的鏈式寫法 以構建一門課程為例,一個完整的課程由PPT課件、回放視訊、課堂筆記、課後作業組成,但是這些內容的設定順序可以隨意調整,我們建造者模式來代入理解一

使用PDOsql注入的原理分析

前言 本文使用pdo的預處理方式可以避免sql注入。下面話不多說了,來一起看看詳細的介紹吧

phpsql注入

原始沒有sql注入操作: public function sql_export(Request $request){ $username = $request -> get(\"username\");

Java使用過濾器防止SQL注入XSS指令碼注入的實現

前幾天有個客戶在系統上寫了一段html語句,開啟頁面就顯示一張炒雞大的圖片,影響美觀。後來仔細想想,幸虧注入的僅僅是html語句,知道嚴重性後,馬上開始一番系統安全配置。

Mybatis框架SQL注入寫法

Mybatis框架SQL注入寫法 Mybatis的SQL語句可以基於註解的方式寫在類方法上面,但我們更多的是以xml的方式寫到xml檔案。

java-安全-sql注入

import cn.hutool.crypto.SecureUtil; import lombok.extern.slf4j.Slf4j; import org.jeecg.common.exception.JeecgBootException;

Helper-C#常用的sql注入的關鍵詞檢測

1 using System; 2 using System.Linq; 3 using System.Text; 4 using System.Text.RegularExpressions; 5 using System.Web;

Java防止SQL注入2(通過filter過濾器功能進行攔截)

  首先說明一點,這個過濾器攔截其實是不靠譜的,比如說我的一篇文章是介紹sql注入的,或者評論的內容是有關sql的,那會過濾掉;且如果每個頁面都經過這個過濾器,那麼效率也是非常低的。

#SQL注入之整型注入流程#小白型|淺

SQL注入:網站相信使用者傳入的資訊,導致執行含有命令的語句,雖然會過濾傳輸資訊,但是我們~咳咳  道高一尺魔高一丈嘛,

記某sql注入對361注入指令碼進行繞過

繞過361注入指令碼 題記 凜冬已至,活也多了起來,某天,接到某保密專案,收到相關站點,開始挖洞之旅。由於我分到的資產不存活,申請了一下換了一批,sql注入的冒險開始了。

java類過濾器,防止頁面SQL注入

package com.tarena.dingdang.filter; import java.io.IOException; import java.util.Enumeration; import javax.servlet.Filter;

sql注入原理及防範

前言         sql注入是一種危險係數較高的攻擊方式,現在由於我們持久層框架越來越多,大部分框架會處理這個問題,因此導致我們對它的關注度越來越少了。最近部門在整理安全漏洞時,提到了一些關於sql注入的修改

Mysql巧join優化sql的方法詳解

0. 準備相關表來進行接下來的測試 相關建表語句請看:https://github.com/YangBaohust/my_sql

詳解SQL注入--安全(二)

如果此文章有什麼錯誤,或者您有什麼建議,歡迎隨時聯絡我,謝謝! 寫在前面:在前兩天初學SQL注入的基礎上,繼續在Metasploitable-Linux環境下進行練習。

關於sql注入的簡要演示(入坑拋磚)

首先可能大家都會問什麼是sql? Sql是資料庫的一種型別,是來儲存網站資料的。

淺談一次與sql注入 & webshell 的美麗“邂逅”

引言 一波未平,一波又起。金融公司的業務實在是太引人耳目,何況我們公司的業處正處於風口之上(區塊鏈金融),並且每天有大量現金交易,所以不知道有多少躲在暗處一直在盯著你的系統,讓你防不勝防,並且想方設法的

pymysql如何解決sql注入問題深入講解

1. SQL 注入 SQL 注入是非常常見的一種網路攻擊方式,主要是通過引數來讓 mysql 執行 sql 語句時進行預期之外的操作。

SQL注入的2個小Trick及示例總結

前言 最近發現了兩個關於sql注入的小trick,分享一下.下面話不多說了,來一起看看詳細的介紹吧