Java Web項目解決 sql 注入問題(過濾器進行過濾解決)

原創 HelloWord_Object 2020-07-04 14:45

**

1、編寫過濾器類—SqlFilter.java

**
在這裏插入圖片描述

package com.yl.zp.controller;

import java.io.IOException;
import java.util.Enumeration;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.stereotype.Component;

@Component
public class SqlFilter implements Filter {

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		// TODO 自動生成的方法存根
		
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;  
        HttpServletResponse res = (HttpServletResponse) response;  
        //獲得所有請求參數名  
        Enumeration params = req.getParameterNames();  
  
        String sql = "";  
        while (params.hasMoreElements()) {  
            //得到參數名  
            String name = params.nextElement().toString();  
            //System.out.println("name===========================" + name + "--");  
            //得到參數對應值  
            String[] value = req.getParameterValues(name);  
            for (int i = 0; i < value.length; i++) {  
                sql = sql + value[i];  
            }  
        }  
        System.out.println("被匹配字符串:"+sql);  
        if (sqlValidate(sql)) {  
            //res.sendRedirect("error.jsp");  
            System.out.println("發現sql注入。。。。。。。");
        } else {  
            chain.doFilter(req, res);  
        }
		
	}

	@Override
	public void destroy() {
		// TODO 自動生成的方法存根
		
	}
	
	//校驗
    protected static boolean sqlValidate(String str) {  
        str = str.toLowerCase();//統一轉爲小寫
        //String badStr = "and|exec";
        String badStr = "'|and|exec|execute|insert|select|delete| update|count|drop|chr|mid|master|truncate|char|declare|sitename|net user|xp_cmdshell|or|like|-|--|+|,|like|//|/|%| #";
        /*String badStr = "'|and|exec|execute|insert|create|drop|table|from|grant|use|group_concat|column_name|" +  
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +  
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";    */    //過濾掉的sql關鍵字,可以手動添加  
       String[] badStrs = badStr.split("\\|");  
        for (int i = 0; i < badStrs.length; i++) {
            if (str.indexOf(badStrs[i]) !=-1) { 
                System.out.println("匹配到:"+badStrs[i]);
                return true;  
            }  
        }  
        return false;  
    } 

}

**

2、在 web.xml 中配置過濾器

**
在這裏插入圖片描述

<filter>
    <filter-name>SqlFilter</filter-name>
    <filter-class>com.yl.zp.controller.SqlFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>SqlFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

這樣就可以了,這樣的配置會攔截所有的請求,對請求中的參數進行檢驗。

=========================================================
如有問題,可加我互相學習探討:QQ:839785192

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

寬字節注入1

寬字節注入原理 GBK 佔用兩字節,即一個符號佔用兩個字節 ASCII佔用一字節 PHP中編碼爲GBK,函數執行添加的是ASCII編碼(添加的符號爲“\”),MYSQL默認字符集是GBK等寬字節字符集。 大家都知道%df’ 被PH

啊哈哈哈765 2020-07-07 22:32:51

寬字節注入2

注入基礎 之前我們在1中講了使用%df 但是沒必要總是使用%df 可以使用其他的 注入代碼分析 下圖第一個函數是替換單引號和雙引號 即將單引號前加斜槓 雙引號前加斜槓 函數功能其實和本身自帶函數功能一樣 記住 寬字節注入mysq

啊哈哈哈765 2020-07-07 22:32:51

i春秋2020新春公益賽 GYCTF有關SQL注入題復現

0x00 前言 最近這段時間參加過一些CTF在線競賽,做過一些Web題,發現SQL注入漏洞出現的頻率可真高!不過在做題中也get到了一些Web新知識,現在通過題目復現的方式總結一下。 0x01 blacklist 考點:堆疊注入+

Qwzf 2020-07-07 18:04:49

全局Request(Thread+Filter)

1.fiter 新建一個普通的java類,讓它實現Filter,重寫Filter的方法。然後在web.xml中,配置這個自定義的過濾器,使其生效。 package com.fh.common; import com.fh.util

never-ljy 2020-07-08 01:45:52

怎麼使用過濾器防止用戶請求的重複提交

1. 實現原理      1)通過設置token的形式。把當前用戶信息和token設置到session裏,token爲當前時間戳的值,同一用戶下每次提交的token不一樣,才允許通過,如果是2次以上的請求,那麼可以使用token.equa

love_Watermelon 2020-07-07 22:36:35

@RestControllerAdvice全局統一異常處理無法攔截filter中catch中拋出的異常

一、背景 系統定義了全局統一異常處理,使用了@RestControllerAdvice註解的方式。 package com.ruoyi.framework.web.exception; import com.ruoyi.common.

风吹麦浪2015 2020-07-07 16:11:17

《微服務網關之Zuul》一、基礎知識

一、前言 Zuul 網關是具體核心業務服務的看門神,相比具體實現業務的系統服務來說它是一個邊緣服務,主要提供動態路由,監控,彈性,安全性等功能。在分佈式的微服務系統中,系統被拆爲了多套系統,通過zuul網關來對用戶的請求進行路由,轉發到具

FlyMarion 2020-07-07 15:36:19

getServerPort 和 getLocalPort 的測試

本地配置了 nginx 轉到一個 spring boot  應用: 測試內容 瀏覽器訪問  abc.com nginx 代理轉發到 localhost:9999 觀察 spring boot  應用 中getServerPort 和 ge

Zonson9999 2020-07-08 12:03:46

ubuntu 下一個簡單的spring boot jar包的啓用腳本

比如java 程序中有環境變量的配置,需要在啓動前修改環境變量,如: #!/bin/sh export TEST_ENV=ddddddddd java -jar demo4.jar 對應的java代碼如下: applicatio

Zonson9999 2020-07-08 12:03:46

idea下springboot項目打包運行步驟

首先應該在pom中添加以下插件,跳過test,否則打包會報錯。 <plugin> <groupId>org.apache.maven.plugins</groupId>

ASN_forever 2020-07-08 10:43:36

Spring Boot外部配置

外部配置(Externalized Configuration) 來源於spring boot官方文檔的簡單筆記,寫的比較亂,大體上是作爲簡單的梳理,回過頭來看的,或者快速查找目錄使用,詳細的還是要看官方文檔 配置屬性讀取順序爲:

hexin13666113593 2020-07-08 01:13:49

SSM實現Java版百度網盤系統

0x00前言 這個項目做了很久,主要是模擬百度網盤實現文件在線存儲、上傳下載、分享以及管理,界面比百度網盤簡陋,只有B/S模式,也沒有PC客戶端和安卓客戶端,另外百度網盤的存儲服務器其實是分佈式的文件系統,限於我的能力和機器資源有限,此項

KogRow 2020-07-07 15:59:20

Hibernate中數據庫方言(dialect)

在配置hibernate.cfg.xml時需指定使用數據庫的方言: 例: <property name="dialect">org.hibernate.dialect.MySQL5Dialect</property> 以下是各數據

有种放学你别走 2020-07-07 11:09:26

javaweb學習總結(一)文件上傳和下載(轉載)

     在Web應用系統開發中,文件上傳和下載功能是非常常用的功能,今天來講一下JavaWeb中的文件上傳和下載功能的實現。   對於文件上傳,瀏覽器在上傳的過程中是將文件以流的形式提交到服務器端的,如果直接使用Servle

有种放学你别走 2020-07-07 11:09:25

spring mvc 註解配置StringHttpMessageConverter不生效

代碼中使用@ResponseBody返回的字符串帶有中文時,返回類型爲String會被StringHttpMessageConverter處理,當時查看源碼發現默認的Charset DEFAULT_CHARSET使用的是ISO-8859-

有种放学你别走 2020-07-07 11:09:24