2. 程式人生 > >Java專案簡單安全處理

Java專案簡單安全處理

阿新 發佈:2019-01-04

一、URL中引數顯示問題,解決方案:
1、普通Get請求修改為Post請求
2、引數加密(js加密,Java解密)

二、Mybatis模糊查詢中,sql拼接問題,解決方案方案:
1、使用安全的符號和方法,xml中拼接示例:

<if test="stateList != null">
    state in 
    <foreach collection="stateList" item="sta" index="index" open="("
        separator="," close=")">
        #{stateList[${index}]}
 

    </foreach>
</if>
<if test="title != null and title != ''">
        and title like concat('%',#{title},'%') 
</if>

2、Java中轉義特殊字元,Java中字元處理示例:

param = param.replace("%", "\\%");
param = param.replace("_", "\\_");
param = param.replace(",", "\\,");
param = param.replace("'"
 
, "\\'");
param = param.replace("/", "//");
param = param.replace("\\", "\\\\");

三、檔案上傳安全問題
解決方案:判斷檔名、請求ContentType和檔案頭內容。
檔案頭內容判斷:
常見檔案型別識別

常用檔案的頭資訊: 
JPEG (jpg),檔案頭:FFD8FFE1 
PNG (png),檔案頭:89504E47 
GIF (gif),檔案頭:47494638 
TIFF (tif),檔案頭:49492A00 
Windows Bitmap (bmp),檔案頭:424D 
CAD (dwg),檔案頭:41433130
 
 
Adobe Photoshop (psd),檔案頭:38425053 
Rich Text Format (rtf),檔案頭:7B5C727466 
XML (xml),檔案頭:3C3F786D6C 
HTML (html),檔案頭:68746D6C3E 
Email [thorough only] (eml),檔案頭:44656C69766572792D646174653A 
Outlook Express (dbx),檔案頭:CFAD12FEC5FD746F 
Outlook (pst),檔案頭:2142444E 
MS Word/Excel (xls.or.doc),檔案頭:D0CF11E0 
MS Access (mdb),檔案頭:5374616E64617264204A 
WordPerfect (wpd),檔案頭:FF575043 
Postscript (eps.or.ps),檔案頭:252150532D41646F6265 
Adobe Acrobat (pdf),檔案頭:255044462D312E 
Quicken (qdf),檔案頭:AC9EBD8F 
Windows Password (pwl),檔案頭:E3828596 
ZIP Archive (zip),檔案頭:504B0304 
RAR Archive (rar),檔案頭:52617221 
Wave (wav),檔案頭:57415645 
AVI (avi),檔案頭:41564920 
Real Audio (ram),檔案頭:2E7261FD 
Real Media (rm),檔案頭:2E524D46 
MPEG (mpg),檔案頭:000001BA 
MPEG (mpg),檔案頭:000001B3 
Quicktime (mov),檔案頭:6D6F6F76 
Windows Media (asf),檔案頭:3026B2758E66CF11 
MIDI (mid),檔案頭:4D546864

java附件上傳時後臺驗證上傳檔案的合法性


public static Map<String, String> mFileTypes = new HashMap<String, String>();
static {
    // imagesFFD8FFE1
    mFileTypes.put("FFD8FFE1", ".jpg");
    mFileTypes.put("FFD8FFE0", ".jpg");
    mFileTypes.put("89504E47", ".png");
    mFileTypes.put("47494638", ".gif");
    mFileTypes.put("49492A00", ".tif");
    mFileTypes.put("424D", ".bmp");

    // 辦公文件類
    mFileTypes.put("D0CF11E0", ".doc"); // ppt、doc、xls
    mFileTypes.put("504B0304", ".docx"); // pptx、docx、xlsx

    /** 注意由於文字文件錄入內容過多,則讀取檔案頭時較為多變-START **/
    mFileTypes.put("0D0A0D0A", ".txt"); // txt
    mFileTypes.put("0D0A2D2D", ".txt"); // txt
    mFileTypes.put("0D0AB4B4", ".txt"); // txt
    mFileTypes.put("B4B4BDA8", ".txt"); // 檔案頭部為漢字
    mFileTypes.put("73646673", ".txt"); // txt,檔案頭部為英文字母
    mFileTypes.put("32323232", ".txt"); // txt,檔案頭部內容為數字
    mFileTypes.put("0D0A09B4", ".txt"); // txt,檔案頭部內容為數字
    mFileTypes.put("3132330D", ".txt"); // txt,檔案頭部內容為數字
    /** 注意由於文字文件錄入內容過多,則讀取檔案頭時較為多變-END **/

    mFileTypes.put("25504446", ".pdf");
    mFileTypes.put("255044462D312E", ".pdf");

    // 壓縮包
    mFileTypes.put("52617221", ".rar");
    mFileTypes.put("1F8B08", ".gz");
}


/**
    * 判斷上傳的檔案是否合法
    * 
    * @param file
    *            檔案
    * @param contentType
    *            是否指定型別
    * @param typeStr
    *            檔案型別字尾名(.jpg,.png,.gif,.jpeg)
    * @return
    */
public Boolean checkFileIllegal(MultipartFile file, String fileName, String typeStr) {
    if (!file.isEmpty()) {
        if (StringUtils.isNotBlank(file.getContentType())) {
            String type = null;
            try {
                type = getFileType(file.getInputStream());
            } catch (IOException e) {
            logger.error("checkFileIllegal->getFileType->error:" + e.getMessage());
            return false;
        }
        if (null != type && -1 != typeStr.indexOf(type)) {
            int index = fileName.lastIndexOf(".");
            if (StringUtils.isNotBlank(fileName) && -1 != index) {
                String fileType = fileName.substring(index).toLowerCase();
                if (-1 != typeStr.indexOf(fileType)) {
                    return true;
                    }
                }
            }
        }
    }
    return false;
}

/**
 * 根據檔案的輸入流獲取檔案頭資訊
 * @return 檔案頭資訊
 */
public static String getFileType(InputStream is) {
    byte[] b = new byte[4];
    if (is != null) {
        try {
            is.read(b, 0, b.length);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    return mFileTypes.get(getFileHeader(b));
}

相關推薦

Java專案簡單安全處理

一、URL中引數顯示問題,解決方案: 1、普通Get請求修改為Post請求 2、引數加密(js加密,Java解密) 二、Mybatis模糊查詢中,sql拼接問題,解決方案方案: 1、使用安全的符號和方法,xml中拼接示例: <if test=

11-10關於java專案的異常處理

這是我們在java專案常見的異常:      1. java.lang.nullpointerexception   這個異常大家肯定都經常遇到,異常的解釋是"程式遇上了空指標",簡單地說就是呼叫了未經初始化的物件或者是不存在的物件,這個錯誤經常出現在建立

java專案中異常處理情況

一,基本概念   異常是程式在執行時出現的不正常情況。是Java按照面向物件的思想將問題進行物件封裝。這樣就方便於操作問題以及處理問題。  異常處理的目的是提高程式的健壯性。你可以在catch和finally程式碼塊中給程式一個修正機會,使得程式不因不可控制的異常而影響程式的流程。同時,通過獲取Java異常

簡單測試Java線程安全中阻塞同步與非阻塞同步性能

訪問 完成 老師 system 測試 int oid 1.2 run 摘抄自周誌明老師的《深入理解Java虛擬機:JVM高級特性與最佳實踐》13.2.2 線程安全的實現方法 1.名詞解釋 同步是指鎖哥線程並發訪問共享數據時,保證共享數據同一時刻只被一個線程訪問 互斥同步(阻

JAVA專案中常用的異常處理情況總結

1. java.lang.nullpointerexception 這個異常大家肯定都經常遇到,異常的解釋是"程式遇上了空指標",簡單地說就是呼叫了未經初始化的物件或者是不存在的物件,這個錯誤經常出現在建立圖片,呼叫陣列這些操作中,比如圖片未經初始化,或者圖片建立時的路徑錯誤等等。對陣列操作中出現空指標

JAVA專案中的常用的異常處理

1. java.lang.nullpointerexception 這個異常大家肯定都經常遇到,異常的解釋是"程式遇上了空指標",簡單地說就是呼叫了未經初始化的物件或者是不存在的物件,這個錯誤經常出現在建立圖片,呼叫陣列這些操作中,比如圖片未經初始化,或者圖片建立時的路徑錯誤等等。對陣列操作中出現空指標

JAVA專案中常用的異常處理情況

1.數學運算異常( java.lang.arithmeticexception) 程式中出現了除以零這樣的運算就會出這樣的異常,對這種異常,大家就要好好檢查一下自己程式中涉及到數學運算的地方,公式是不是有不妥了。 2.陣列下標越界(java.lang.arrayindexoutofboundse

JAVA專案中的常用的異常處理情況

JAVA專案中的常用的異常處理情況                       &nbs

java專案中的異常處理

java專案中的常用的異常處理情況 1)為可恢復的錯誤使用檢查型異常,為程式設計錯誤使用非檢查型錯誤。   選擇檢查型還是非檢查型異常,對於Java程式設計人員來說,總是讓人感到困惑。檢查型異常保證你對錯誤條件提供異常處理程式碼,這是一種從語言到強制你編'寫健壯的程式碼的一種方式,但同時會引入大量

關於JAVA專案中的常用的異常處理情況總結

1. JAVA異常處理 在面向過程式的程式語言中,我們可以通過返回值來確定方法是否正常執行。比如在一個c語言編寫的程式中,如果方法正確的執行則返回1.錯誤則返回0。在vb或delphi開發的應用程式中,出現錯誤時,我們就彈出一個訊息框給使用者。 通過方法的返回值我們並不能獲得錯誤的詳細資訊。可能因為方法由

關於JAVA專案中的常用的異常處理情況

Exception異常層次結構的根類 RuntimeException許多java.lang異類的基類 ArithmeticException算術錯誤情形 IllegalArgumentException方法接收到非法引數 ArrayIndexOutOfBoundException陣列大小小於或大於實

Mybatis的簡單使用步驟(java專案

1、在eclipse中建立mavenjava專案(jar),並初始化依賴,放入log4j的配置檔案 pom檔案如下(一個是Mybatis必須的,一個是log4j的日誌) <project xmlns="http://maven.apache.org/POM/4.0.0" xm

windows下java專案打包、啟動批處理 .bat檔案

maven打包,指令碼內容: @echo off echo 正在設定臨時環境變數 set JAVA_HOME=C:\Program Files\Java\jdk1.6.0_45 set MAVEN_HOME=D:\apache-maven-3.2.5 set CLASSPATH=.;%JAVA_HO

Java 中的異常處理機制的簡單原理和應用

異常是指 java 程式執行時(非編譯)所發生的非正常情況或錯誤,與現實生活中的事件很 相似,現實生活中的事件可以包含事件發生的時間、地點、人物、情節等資訊,可以用一個 物件來表示,Java 使用面向物件的方式來處理異常,它把程式中發生的每個異常也都分別封 裝到一個物件來表示

java中的異常處理之try catch塊的簡單應用

java中的異常根據是否需要人為處理分為倆種: A:非受查異常:派生於Error類,與RuntimeException類(執行時異常)的所有異常。 B:受查異常----:所有不屬於非受查異常類的異常(包

java專案中ehcache快取最簡單用法

    java專案中ehcache快取最簡單用法:   1.下載ehcache-core-2.4.3.jar複製到專案的lib目錄下 2.新建ehcache.xml檔案,放置在專案src目錄下的resource目錄下。ehcache.xml

java專案轉maven專案相關步驟與問題處理

專案背景介紹:spring+springMVC+mybatis ssm框架+redis+dubbo+mq+zk 通過myeclipse可將原專案直接轉為maven專案,但是不符合maven專案的目錄規範,需要調整對應的路徑; maven目錄: 轉換步驟:右鍵選中專案-&g

spring4.2.9 java專案環境下ioc原始碼分析(四)——refresh之obtainFreshBeanFactory方法(@2處理Resource、載入Document及解析前準備)

接上篇文章,上篇文章講到載入完返回Rescouce。先找到要解析的程式碼位置,在AbstractBeanDefinitionReader類的loadBeanDefinitions(String location, Set<Resource> actualResou

Java專案中高併發問題的簡單解決方案

1、儘量使用快取技術來做。使用者快取,頁面快取等一切快取,使用特定的機制進行重新整理。利用消耗記憶體空間來換取使用者的效率,同時減少資料庫的訪問次數。2、把資料庫的查詢語句進行優化,一般複雜的SQL語句就不要使用ORM框架自帶的做法來寫,採用自己來寫SQL,例如hiberna

Java SE專案簡單釋出指令碼

1、釋出指令碼 [[email protected] deploy]# cat deploy.sh #/bin/sh TIME=`date +%Y%m%d%H%M%S` NAME=blog-service cd /data/${NAME} sh de