使用Servlet Filter来防止SQL注入的方法

yanyanquan

浏览: 441964 次
性别:
来自: 江门

最近访客更多访客>>

athosczx

tangzehuan

gggajax

wangyy

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

JAVA/JSP

Servlet SQL

SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编程时的疏忽，通过SQL语句，实现无帐号登录，甚至篡改数据库。

filter功能.它使用户可以改变一个 request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够

在一个request到达servlet之前预处理request,也可以在离开 servlet时处理response.换种说法,filter其实是一个”servlet

chaining”(servlet 链). 所以用户发出的任何request都必然经过filter处理，我们就在filter处理用户request包含的敏感关

键字，然后replace掉或是让页面转到错误页来提示用户，这样就可以很好的防sql注入了。

java代码：ReqFilter.java

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class ReqFilter implements Filter {

public void init(FilterConfig config) throws ServletException {
}

public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
ReqHttpServletRequestWrapper reqRequest = new ReqHttpServletRequestWrapper(
(HttpServletRequest) request);
chain.doFilter(reqRequest, response);
}

public void destroy() {
}
}

java代码：ReqHttpServletRequestWrapper.java

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class ReqHttpServletRequestWrapper extends HttpServletRequestWrapper {
HttpServletRequest orgRequest = null;

public ReqHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
orgRequest = request;
}

@Override
public String getParameter(String name) {
String value = super.getParameter(name);
if (value != null) {
   value = reqEncode(value);
}
return value;
}

private static String reqEncode(String s) {
if (s == null || "".equals(s)) {
   return s;
}
StringBuilder sb = new StringBuilder(s.length() + 16);
for (int i = 0; i < s.length(); i++) {
   char c = s.charAt(i);
   switch (c) {
   case '\'':
    sb.append("′");// ´");
    break;
   case '′':
    sb.append("′");// ´");
    break;
   case '\"':
    sb.append(""");
    break;
   case '＂':
    sb.append(""");
    break;
   case '&':
    sb.append("＆");
    break;
   case '#':
    sb.append("＃");
    break;
   case '\\':
    sb.append('￥');
    break;

   case '>':
    sb.append('＞');
    break;
   case '<':
    sb.append('＜');
    break;
   default:
    sb.append(c);
    break;
   }
}
return sb.toString();
}

public HttpServletRequest getOrgRequest() {
return orgRequest;
}

public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
if (req instanceof ReqHttpServletRequestWrapper) {
   return ((ReqHttpServletRequestWrapper) req).getOrgRequest();
}

return req;
}
}

分享到：

快速搞懂 ASP.NET MVC | 避免XPath 注入的危险

2010-08-28 14:29
浏览 1762
评论(0)
分类:编程语言
查看更多

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

SpringBoot整合XssFilter，Jsoup等实现请求参数的过滤，处理Xss攻击及sql注入.zip: 原理过程 Springboot中会使用FilterRegistrationBean来注册Filter，Filter是Servlet规范里面的，属于容器范围，Springboot中没有web.xml，那Springboot中，不用管Filter是如何交给Ser...SpringBoot整合XssFilter，...

java sql注入l: -- 防止SQL注入的过滤器 --> 72 <filter> 73 <filter-name>antiSqlInjection</filter-name> 74 <filter-class>com.tarena.dingdang.filter.AntiSqlInjectionfilter</filter-class> 75 </filter> 76 ...

Flight-Booking-System-JavaServlets_App：:airplane_selector:用于土耳其航空公司的企业级航班预订系统（Web应用程序），该系统基于使用Java Servlet，Java Server Page（JSP）制成的模型视图控制器（MVC）架构。此外，还实现了对用户的身份验证和授权。该Web应用程序还可以防止SQL注入和跨站点脚本攻击: 该Web应用程序还可以防止SQL注入和跨站点脚本攻击。使用的技术前端： HTML，CSS，JavaScript，Jquery，Bootstrap，Java服务器页面（JSP），AJAX（用于Flight Search窗口小部件）后端： Java Servlet，Java模型...

JAVA WEB 开发详解：XML+XSLT+SERVLET+JSP 深入剖析与实例应用.part2: 10.2.2 使用requestdispatcher来处理异常 346 10.3 小结 349 第11章开发线程安全的servlet 350 11.1 多线程的servlet模型 350 11.2 线程安全的servlet 351 11.2.1 变量的线程安全 351 11.2.2 属性的线程安全 ...

JAVA WEB 开发详解：XML+XSLT+SERVLET+JSP 深入剖析与实例应用.part3: 10.2.2 使用requestdispatcher来处理异常 346 10.3 小结 349 第11章开发线程安全的servlet 350 11.1 多线程的servlet模型 350 11.2 线程安全的servlet 351 11.2.1 变量的线程安全 351 11.2.2 属性的线程安全 ...

JAVA WEB 开发详解：XML+XSLT+SERVLET+JSP 深入剖析与实例应用.part4: 10.2.2 使用requestdispatcher来处理异常 346 10.3 小结 349 第11章开发线程安全的servlet 350 11.1 多线程的servlet模型 350 11.2 线程安全的servlet 351 11.2.1 变量的线程安全 351 11.2.2 属性的线程安全 ...

Ajax请求和Filter配合案例解析: 现在有这样一个问题，就是在提交大片文字评论的时候，前台拿到数据之后给后台发送ajax请求，然后后台有一个防止SQL注入的Filter，这个Filter得到这个前台传过来的数据之后，进行合法性校验，如果没有校验成功，那么...

JAVA WEB 开发详解：XML+XSLT+SERVLET+JSP 深入剖析与实例应用.part5: 10.2.2 使用requestdispatcher来处理异常 346 10.3 小结 349 第11章开发线程安全的servlet 350 11.1 多线程的servlet模型 350 11.2 线程安全的servlet 351 11.2.1 变量的线程安全 351 11.2.2 属性的线程安全 ...

springmvc+hibernate 日志管理工具: 功能日志：基于java aop思想设计，通过Spring advisorAutoProxy(自动代理)实现controller过滤代理拦截，并提供拦截filter过滤，支持spring EL表达式。数据日志：设计中提供数据日志注入接口，管理数据日志注入，...

J2EE应用开发详解: 57 4.3.7 Servlet协作 57 4.3.8 Filter 58 4.4 使用Servlet处理客户端请求 58 4.5 会话跟踪 61 4.5.1 使用Cookie进行会话跟踪 61 4.5.2 使用URL重写进行会话跟踪 62 4.5.3 使用隐藏表单域进行会话跟踪 63 4.6 小结 ...

Java Web编程宝典－十年典藏版.pdf.part2(共2个): 5.3.5 使用Servlet处理业务逻辑 5.3.6 掌握Servelet处理流程 5.3.7 Eclipse快速创建Servlet 5.4 一夫当关——配置并应用Servlet过滤器 5.4.1 过滤器的基本原理 5.4.2 过滤器的核心API 5.4.3 过滤器的创建与配置 ...

Java Web程序设计教程: 4.1.3sql使用方法　65 4.2jdbc　67 4.2.1jdbc概述　67 4.2.2jdbc驱动程序　68 4.2.3使用jdbc读取数据　69 4.3项目实战——存储图书信息　73 本章小结　78 课后练习　79 第5章struts2框架基础　80 5.1mvc框架　80 ...

ssh（structs,spring,hibernate）框架中的上传下载: 　其中save(FileActionForm fileForm)方法，将封装在fileForm中的上传文件保存到数据库中，这里我们使用FileActionForm作为方法入参，FileActionForm是Web层的表单数据对象，它封装了提交表单的数据。将...

基于JavaWeb的期刊管理系统+课设报告.zip: 这里说明一下：大致的使用方法 1、get clone 我的这个项目git 2、使用idea打开项目目录 3、导入sql数据库文件（默认账号密码在工程里有一个excle存储） 4、在项目结构中配置相应的lib路径 ...

springboot参考指南: 使用远程shell来进行监控和管理 i. 43.1. 连接远程shell i. 43.1.1. 远程shell证书 ii. 43.2. 扩展远程shell i. 43.2.1. 远程shell命令 ii. 43.2.2. 远程shell插件 v. 44. 度量指标（Metrics） i. 44.1. 系统指标 ...

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论