java 参数过滤,防止异常注入

最新推荐文章于 2024-04-06 10:01:20 发布
原创 最新推荐文章于 2024-04-06 10:01:20 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #filter

本文介绍了一个自定义的Servlet过滤器,用于对HTTP请求中的参数进行过滤处理,包括HTML标签转义及黑名单关键字过滤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

package com.web.filter;


import java.io.IOException;


import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


import org.apache.commons.lang3.StringEscapeUtils;
import org.apache.commons.lang3.StringUtils;


public class ParamFilter implements Filter {


private String[] paramArray=null;

@Override
public void destroy() {


}


@Override
public void doFilter(ServletRequest req, ServletResponse rep,FilterChain fc) throws IOException, ServletException {
HttpServletRequest request=(HttpServletRequest)req;
HttpServletRequestWrapper hrw=new HttpServletRequestWrapper(request){
@Override
public String getParameter(String name) {
String value=super.getParameter(name);
if(StringUtils.isNotBlank(value)){
value=filterValue(value);
}
return value;
}
};
fc.doFilter(hrw, rep);
}


/**
* 获取配置参数
*/
@Override
public void init(FilterConfig fc) throws ServletException {
String value=fc.getInitParameter("sql");
if(StringUtils.isNotBlank(value)){
paramArray=value.split(",");
}
}


/**
* 过滤关键字
* @param value
* @return
*/
private String filterValue(String value){
//html标签转义
value=StringEscapeUtils.escapeHtml4(value);
//自定义的关键字过滤
for(int i=0;paramArray!=null&&paramArray.length>0;i++){
value=value.replaceAll(paramArray[i], "");
}
return value;
}
}
qq_512902011
关注
java对请求参数进行过滤_javaWeb如何写拦截器过滤前端所有请求中的数据
weixin_36035610的博客
02-24 1359
1、重新对request进行包装,需要继承HttpServletRequestWrapperpackage com.topcheer.common;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletRequestWrapper;import org.apache.commons.lan...
java反射与漏洞风险
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
09-04 2692
文章目录反射漏洞???? 反射 反射在java中有不可替代的作用,对象可以通过反射获取他的类,类可以通过反射拿到包含所有私有方法在内的所有方法、属性,并且可以直接使用。 通过获取类的主要三种方法: obj.getClass(): 通过某个类的实例 obj 可以直接获取它的类。 Test.class: 通过已经加载的某个类直接获取它的 class 属性。 Class.forName: 通过类的名字获取到这个类。 举个???? public void execute(String className, St
JAVA实现sql注入点检测
04-24
JAVA实现的网络爬虫以及对爬到的页进行sql注入的判断
java防止脚本注入,通过拦截器实现
混魔MJM的博客
08-20 4019
1:利用action过滤 package com.tsou.comm.servlet; import java.util.Enumeration; import java.util.Map; import java.util.Vector; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.Ht
Java字符操作】避免模糊查询%等占位符时无效
Big Smile
03-17 2052
编程语言:java框架:SSM模糊查询实现方式:<if test="goodsCode != null"> and (goods_code like CONCAT(CONCAT('%', #{goodsCode}), '%') </if>用concat拼接mybatis传下来的值拼接到sql中效果:        在搜索框输入%字符时,即使数据中有带%的数据,...
java 请求参数过滤拦截
03-10
这里的“java请求参数过滤拦截”主要是指在接口接收到用户输入的数据时,通过过滤器(Filter)对参数进行检查,防止恶意攻击者利用特殊字符执行SQL注入、跨站脚本攻击(XSS)等危害。下面我们将详细探讨这一主题。 ...
防止SQL注入-参数过滤排除部分
weixin_44950062的博客
03-19 2402
防止SQL注入-有很多种方法,这里记录一个参数过滤器。 基本方式: 代码层防止sql注入攻击的最佳方案就是sql预编译 确认每种数据的类型,比如是数字,数据库则必须使用int类型来存 规定数据长度,能在一定程度上防止sql注入 严格限制数据库权限,能最大程度减少sql注入的危害 避免直接响应一些sql异常信息,sql发生异常后,自定义异常进行响应 过滤参数中含有的一些数据库关键词 过滤器: @Component public class SqlInjectionFilter implements Fil
javasql注入攻击过滤
08-09
4. **异常处理**:当检测到潜在的SQL注入尝试时,过滤器应阻止请求,记录日志,并向用户返回适当的错误信息。 5. **使用预编译的SQL语句(PreparedStatement)**:除了过滤器之外,还应该使用PreparedStatement来...
java防止sql注入.pdf
12-09
综上所述,防止SQL注入是一个多层面的过程,包括但不限于输入验证、特殊字符转义、关键字过滤、使用参数查询、设置权限以及持续监控和更新。通过以上方法,开发者可以显著提高Java应用程序的御能力,降低SQL注入...
JAVA如何御XSS和SQL 注入攻击
p13993233504的博客
04-06 1070
4. **设置HTTP标头**:通过设置合适的HTTP标头,如`Content-Security-Policy`(CSP),可以限制浏览器加载和执行外部资源,从而减少XSS攻击的风险。对于不符合规则的输入,应予以拒绝或进行适当的处理。11. **使用安全的API**:在开发过程中,使用提供内置护的API,例如使用DOM方法而不是直接操作字符串来处理HTML内容。10. **实施内容安全策略**:定义并实施内容安全策略(CSP),这是一种指定有效来源的技术,可以防止加载来自不可信源的资源。
java过滤sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
Java防止SQL注入(通过Filter过滤器功能进行拦截)
qq_37272886的博客
05-18 7032
前言 contentType=multipart/form-data的header以文件流的的形式上传文件时,如果代码中使用了Filter,会出现无法用Filter 中用ServletRequest.getParameter 方法取不到一并提交上来的参数 multipart/form-data格式: package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import java.
java 请求参数过滤_SpringBoot过滤器(过滤请求参数
weixin_28726391的博客
02-17 1278
包结构paramsfilter.png创建ParamsFilter实现Filter接口package com.example.filter;import javax.servlet.*;import javax.servlet.http.HttpServletRequest;import java.io.IOException;/*** @author chengdongyi* @descript...
java程序防止sql注入的方法
jun0052的专栏
01-25 1万+
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。 第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setStrin
Java命令注入
热门推荐
沧海一粟
07-16 1万+
1 Java中的命令注入Java中的Runtime.getRuntime本质就是使用ProcessBuilder,以ProcessBuilder里用ProcessImpl,start 的一个子进程执行命令, Java的native调用 a. Windows是CreateProcessW 创建子进程执行命令 b. Unix中以enecve 来创建子进程执行命令
Java Web对前台传过来参数中的敏感字符进行过滤替换
风过留痕
08-13 3417
public static String filterHtml(String input){ if(input == null){ return null; } if(input.length() == 0){ return input; } input = input.replaceAll("&", "&"); input = input.repl
Java中如何去掉字符串中的非法字符(预SQL注入
weixin_30888027的博客
05-09 595
1 /** 2 * 防止SQL注入,校验字符串参数是否合法 3 * @param s 4 * @return 5 */ 6 public static boolean isValid(String s) 7 { 8 if (s.isEmpty()|| s.length() > 10000...
模糊查询参数处理防止sql注入方法
meng_xiaohua的博客
03-15 1284
.replace(/%/g,'\\%')
java后端如何防止sql注入
最新发布
03-19
<think>好的,我现在需要帮助用户了解Java后端防止SQL注入的最佳实践。首先,我需要回忆一下SQL注入的原理,即攻击者通过输入恶意SQL代码来操纵数据库查询。接下来,结合用户提供的引用内容,尤其是引用[1]、[2]、[3]、[4],整理出主要的护方法。 用户提供的引用中提到使用PreparedStatement、输入过滤、ORM框架、最小权限原则等方法。这些都是常见的御手段。我需要将这些方法系统地组织起来,确保结构清晰。 首先,PreparedStatement是基础且有效的方式,因为它使用预编译语句,避免拼接SQL,引用[1]和[2]都强调了这一点。需要详细说明它的工作原理和示例代码。 其次,输入验证和过滤也很重要,引用[3]和[4]提到对用户输入进行检查,过滤特殊字符。这里可以分白名单和黑名单两种策略,但推荐白名单,因为更安全。 然后,使用ORM框架如Hibernate或MyBatis,它们内部通常已经处理了参数查询,引用[2]中的方案可能涉及这一点,需要进一步解释。 另外,数据库权限设置,如最小权限原则,引用[1]提到数据库层护,避免使用高权限账户,减少潜在损害。 还有,避免动态拼接SQL,引用[1]的例子说明拼接SQL的危险,所以应该提醒开发者不要这样做。 此外,引用[4]中的正则表达式过滤特定标签,虽然主要针对XSS,但思路可以借鉴,比如过滤SQL相关的关键词或特殊符号。 还需要考虑其他措施,比如定期漏洞扫描和日志监控,这些虽然没有直接出现在引用里,但属于最佳实践的一部分,应该补充进去。 最后,确保回答结构清晰,分点说明,每个方法都有原理和实例,比如代码示例。同时,按照用户要求,相关问题需要相关且能引导深入学习,比如询问PreparedStatement的原理或ORM框架如何防止注入。 检查是否有遗漏,比如存储过程或Web应用火墙,但根据引用内容,可能不需要深入这些。保持答案紧扣提供的引用,并适当扩展。确保使用正确的中文术语,避免技术术语错误,比如“参数查询”等。 总结步骤:介绍每种方法,结合引用内容,给出示例代码(如PreparedStatement的Java代码),最后列出相关问题。确保所有LaTeX格式正确,行内公式用$...$,独立公式用$$...$$,但这个问题中可能较少涉及数学公式,但如果有需要,比如解释正则表达式模式,可能需要使用。例如,引用[4]中的正则表达式可以用行内代码块而非LaTeX。需要遵循用户的格式要求,特别是代码块使用三个反引号包裹,并标明语言。 现在组织内容,确保每个部分引用正确的来源,例如PreparedStatement部分引用[1][2],输入过滤引用[3][4],ORM引用[2]可能的方案等。最后的问题需要围绕这些方法展开,帮助用户进一步学习。</think>### Java后端防止SQL注入的最佳实践 #### 1. **使用预编译语句(PreparedStatement)** **原理**:通过将SQL语句与参数分离,避免直接拼接用户输入到SQL中。数据库会预先编译SQL模板,用户输入仅作为参数传递,从根本上阻止恶意代码注入[^1][^2]。 ```java String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; try (PreparedStatement stmt = connection.prepareStatement(sql)) { stmt.setString(1, userInputUsername); stmt.setString(2, userInputPassword); ResultSet rs = stmt.executeQuery(); } ``` #### 2. **输入验证与过滤** - **白名单校验**:限制输入格式(如仅允许字母数字),例如使用正则表达式:`^[a-zA-Z0-9]+$`[^3]。 - **黑名单过滤**:移除敏感字符(如`'`、`"`、`;`)或SQL关键字(如`DROP`、`UNION`),但此方法可靠性较低,需结合其他手段[^4]。 #### 3. **ORM框架替代原生SQL** 使用Hibernate、MyBatis等框架,其内置的参数查询机制可自动处理输入转义。例如MyBatis的`#{}`语法: ```xml <select id="getUser" resultType="User"> SELECT * FROM users WHERE username = #{username} </select> ``` #### 4. **最小权限原则** 为数据库账户分配仅满足业务需求的最小权限,例如禁止普通业务账号执行`DROP TABLE`或`UPDATE`系统表等操作[^1]。 #### 5. **避免动态拼接SQL** 禁止直接拼接用户输入到SQL语句中: ```java // 错误示例:存在注入风险 String sql = "SELECT * FROM users WHERE username = '" + userInput + "'"; ``` #### 6. **其他增强措施** - **Web应用火墙(WAF)**:拦截含有SQL关键字的请求。 - **定期漏洞扫描**:通过工具(如OWASP ZAP)检测潜在注入点。 - **日志监控**:记录异常SQL操作并及时告警。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值