登录
当前位置: 首页 > 工具软件 > JFinal Sql Xml > 使用案例 >

web.xml配置全局过滤器防止SQL注入

卫阳曜
2023-12-01

问题背景:

生产有个老项目使用的是jsp+servlet写的,对安全方面几乎没有,对执行的sql使用的是

Statement.executeUpdate(sql),没有使用PreparedStatement.executeUpdate(sql)

容易造成恶意攻击

解决思想:

1)配置全局过滤器,通过关键字匹配来拦截恶意请求

2)写sql的时候用PreparedStatement

本次使用的是配置全局过滤器

1.在web.xml中加入以下配置

<!-- 防止SQL注入的过滤器 -->
  <filter>
    <filter-name>SqlInjectionFilter</filter-name>
    <filter-class>org.oct.attachment.secure.SqlInjectFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>SqlInjectionFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
2.创建全局过滤器
package org.oct.attachment.secure;


import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.log4j.Logger;

import java.io.IOException;
import java.util.Enumeration;

/**
 * @author xiaoss
 * @since 1.0, 2022年08月22日 12:06:13
 */
public class SqlInjectFilter implements Filter {

   // Logger logger= LoggerFactory.getLogger(SqlInjectFilter.class);
	private static final Logger logger = Logger.getLogger(SqlInjectFilter.class);


    private static final String SQL_REGX = ".*(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|drop|execute)\\b).*";


    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        logger.error("进入全局过滤器==================================");
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        //获得所有请求参数名
        Enumeration params = req.getParameterNames();
        logger.error("url=================================="+req.getRequestURI()+ req.getQueryString());
        String sql = "";
        while (params.hasMoreElements()) {
            //得到参数名
            String name = params.nextElement().toString();
            //得到参数对应值
            String[] value = req.getParameterValues(name);
            for (int i = 0; i < value.length; i++) {
                sql = sql + value[i];
            }
        }
        //有sql关键字,跳转到error.html
        if (sqlValidate(sql)) {
            logger.error("您发送请求中的参数中含有非法字符"+sql);
            //throw new IOException("您发送请求中的参数中含有非法字符");
        } else {
            logger.error("执行完全局过滤器"+sql);
            chain.doFilter(req, res);
        }
    }

    //效验
    protected static boolean sqlValidate(String str) {
        str = str.toLowerCase();//统一转为小写
        if(str.matches(SQL_REGX)){
            return true;
        }
        return false;
    }

    public void init(FilterConfig filterConfig) throws ServletException {
    }

    public void destroy() {
    }

}

测试:

浏览器上直接访问项目

http://localhost:8080/oct_attachment_war/DeleteServlet?id=-1%20SELECT%202+983-983-1=0+0+0+1--

 类似资料:

相关阅读

使用Hibernate防止SQL注入Java:mybatis如何防止sql注入ThinkPHP如何防止SQL注入?Hibernate Criteria Api是否可以完全防止SQL注入阻止Spring Boot注册Servlet过滤器

相关文章

过滤器模式配置Web服务器过程PHP 高级过滤器Redis布隆过滤器Tableau顶部过滤器

相关问答

仅使用html防止SQL注入用于web.xml配置的Spring注释配置替换配置AppEngine-web.xml使用web.xml在Tomcat 8上设置自定义过滤器如何配置过滤器使用WebSecurityConfigrerAdapter?

相关文档

iOS 安全攻防具有高级安全性的 Windows 防火墙网页安全配色手册GitBook 安装配置使用Mac 开发配置手册
快捷导航: 新手教程 算法原理 架构设计 Java进阶 数据库进阶 大厂专栏 面试经验 编程笔记 编程问答 所有专题 文档资料 工具软件 电子书籍 小牛导航
在线工具: 房贷计算器 个税计算器 Linux命令查询 Json格式化 正则表达式 颜色转换 AES加解密 SHA1加密 MD5加密 毒鸡汤 字数统计 随机密码生成 进制转换 Base64编解码 励志句子
Copyright © 2019-2024 小牛知识库@xnip.cn. All Rights Reserved.