AI 助理
文档备案控制台
开发者社区 数据库 文章 正文

java类过滤器,防止页面SQL注入

2017-06-27 1692
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: package com.tarena.dingdang.filter; import java.io.IOException; import java.util.Enumeration; import javax. 
package com.tarena.dingdang.filter;  
  
import java.io.IOException;  
import java.util.Enumeration;  
  
import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
  
public class AntiSqlInjectionfilter implements Filter {  
  
    public void destroy() {  
        // TODO Auto-generated method stub  
    }  
      
    public void init(FilterConfig arg0) throws ServletException {  
        // TODO Auto-generated method stub  
    }  
      
    public void doFilter(ServletRequest args0, ServletResponse args1,  
            FilterChain chain) throws IOException, ServletException {  
        HttpServletRequest req=(HttpServletRequest)args0;  
        HttpServletRequest res=(HttpServletRequest)args1;  
         //获得所有请求参数名  
        Enumeration params = req.getParameterNames();  
        String sql = "";  
        while (params.hasMoreElements()) {  
            //得到参数名  
            String name = params.nextElement().toString();  
            //System.out.println("name===========================" + name + "--");  
            //得到参数对应值  
            String[] value = req.getParameterValues(name);  
            for (int i = 0; i < value.length; i++) {  
                sql = sql + value[i];  
            }  
        }  
        //System.out.println("============================SQL"+sql);  
        //有sql关键字,跳转到error.html  
        if (sqlValidate(sql)) {  
            throw new IOException("您发送请求中的参数中含有非法字符");  
            //String ip = req.getRemoteAddr();  
        } else {  
            chain.doFilter(args0,args1);  
        }  
    }  
      
    //效验  
    protected static boolean sqlValidate(String str) {  
        str = str.toLowerCase();//统一转为小写  
        String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" +  
                "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" +  
                "table|from|grant|use|group_concat|column_name|" +  
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +  
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字,可以手动添加  
        String[] badStrs = badStr.split("\\|");  
        for (int i = 0; i < badStrs.length; i++) {  
            if (str.indexOf(badStrs[i]) >= 0) {  
                return true;  
            }  
        }  
        return false;  
    }  
}  
  
  
<!--在web.xml文件中的配置-->  
<!-- 防止SQL注入的过滤器 -->  
    <filter>  
        <filter-name>antiSqlInjection</filter-name>  
        <filter-class>com.tarena.dingdang.filter.AntiSqlInjectionfilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>antiSqlInjection</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>

  

文章标签:
SQL
Java
关键词:
Java类
Java SQL
SQL类
SQL注入
Java过滤器
炉火纯青
目录
相关文章
一缕微风绕指柔
|
7月前
|
安全 Java 数据建模
Java记录类:简化数据载体的新选择
Java记录类:简化数据载体的新选择
一缕微风绕指柔
402 101
一缕微风绕指柔
|
7月前
|
安全 Java 开发者
Java记录类:简化数据载体的新方式
Java记录类:简化数据载体的新方式
一缕微风绕指柔
346 100
34789737
|
6月前
|
存储 Java 索引
用Java语言实现一个自定义的ArrayList类
自定义MyArrayList类模拟Java ArrayList核心功能,支持泛型、动态扩容(1.5倍)、增删改查及越界检查,底层用Object数组实现,适合学习动态数组原理。
34789737
260 4
34789737
|
6月前
|
IDE JavaScript Java
在Java 11中,如何处理被弃用的类或接口?
在Java 11中,如何处理被弃用的类或接口?
34789737
313 5
蓝易云
|
6月前
|
编解码 Java 开发者
Java String类的关键方法总结
以上总结了Java `String` 类最常见和重要功能性方法。每种操作都对应着日常编程任务,并且理解每种操作如何影响及处理 `Strings` 对于任何使用 Java 的开发者来说都至关重要。
蓝易云
392 5
凉凉心.
|
6月前
|
JSON 网络协议 安全
【Java】(10)进程与线程的关系、Tread类;讲解基本线程安全、网络编程内容;JSON序列化与反序列化
几乎所有的操作系统都支持进程的概念,进程是处于运行过程中的程序,并且具有一定的独立功能,进程是系统进行资源分配和调度的一个独立单位一般而言,进程包含如下三个特征。独立性动态性并发性。
凉凉心.
312 1
凉凉心.
|
6月前
|
Java Go 开发工具
【Java】(8)正则表达式的使用与常用类分享
正则表达式定义了字符串的模式。正则表达式并不仅限于某一种语言,但是在每种语言中有细微的差别。
凉凉心.
452 1
凉凉心.
|
6月前
|
存储 Java 程序员
【Java】(6)全方面带你了解Java里的日期与时间内容,介绍 Calendar、GregorianCalendar、Date类
java.util 包提供了 Date 类来封装当前的日期和时间。Date 类提供两个构造函数来实例化 Date 对象。第一个构造函数使用当前日期和时间来初始化对象。Date( )第二个构造函数接收一个参数,该参数是从1970年1月1日起的毫秒数。
凉凉心.
291 1
凉凉心.
|
6月前
|
JSON 网络协议 安全
【Java基础】(1)进程与线程的关系、Tread类;讲解基本线程安全、网络编程内容;JSON序列化与反序列化
几乎所有的操作系统都支持进程的概念,进程是处于运行过程中的程序,并且具有一定的独立功能,进程是系统进行资源分配和调度的一个独立单位一般而言,进程包含如下三个特征。独立性动态性并发性。
凉凉心.
320 1
艾伦~耶格尔
|
8月前
|
缓存 安全 Java
Java反射机制:动态操作类与对象
Java反射机制是运行时动态操作类与对象的强大工具,支持获取类信息、动态创建实例、调用方法、访问字段等。它在框架开发、依赖注入、动态代理等方面有广泛应用,但也存在性能开销和安全风险。本文详解反射核心API、实战案例及性能优化策略,助你掌握Java动态编程精髓。
艾伦~耶格尔
242 1

热门文章

最新文章

  • 1
    bboss 持久层sql xml配置文件编写和加载方法介绍
  • 2
    Sql Server 存储过程使用技巧
  • 3
    向ORACLE数据库中录入EXCEL表数据 之 PL/SQL Developer8.0
  • 4
    SQL 数据操作技巧:SELECT INTO、INSERT INTO SELECT 和 CASE 语
  • 5
    SQL Server 实验语句集合一
  • 6
    Oracle学习之路-SQL篇-连接查询
  • 7
    [转]从sql server 或 Access 中随即查询出几条数据
  • 8
    SQL Server 2014新功能 -- 延迟事务持久性(Delayed Transaction Durability)
  • 9
    DLA一键发现Tablestore元数据,轻松开启数据湖SQL分析之旅
  • 10
    记一次SQL Server2005导入Oracle10G的折腾过程【供多种数据库导入导出数据的C#程序源码参考】
  • 1
    Java笔记(3)
    121
  • 2
    Java中的异常处理:深入理解try-catch语句
    228
  • 3
    Java开发与运行环境概述
    375
  • 4
    Java中多线程的常见实现方式
    294
  • 5
    Java语言的特点及其应用深度解析
    700
  • 6
    在Eclipse环境下调试Java程序
    379
  • 7
    在DOS环境下调试Java程序
    252
  • 8
    Java与CSS:解析在Web开发中的协同作用
    318
  • 9
    Java与HTML的深度融合:技术解析与应用实践
    705
  • 10
    深入理解Java语言中的方法重载(Overloading)
    881

    • 相关课程

    更多
  • Java面试疑难点解析 - 面试技巧及语言基础
  • Java面试疑难点解析 - Java Web开发
  • Java面试疑难点解析 - 系统架构及项目设计
  • Java编程入门
  • Java面向对象编程
  • Java高级编程

    • 相关电子书

    更多
  • Spring Cloud Alibaba - 重新定义 Java Cloud-Native
  • The Reactive Cloud Native Arch
  • JAVA开发手册1.5.0
    • 下一篇
    开通oss服务