如何预防SQL注入,XSS漏洞(spring,java)
SQL注入简介
SQL注入是因为程序员对用户输入的参数没有作好校验,让不法分子钻了SQL的空子,
好比:咱们一个登陆界面,要求用户输入用户名和密码:
用户名: ' or 1=1--
密码:
点击登陆以后,若是后台只有一条简单的待条件的sql语句,没有作特殊处理的话:
如:
String sql="select * from users where username='"+userName+"' and password='"+password+"' "
这样拼接的结果是
String sql="select * from users where username='’or 1=1--' and password='' "
这条语句会将数据库中的数据所有读出来。
很显然因为username='’or 1=1中用户名等于'' 或1=1这个条件恒成立,而后后面加上了--,而后后面的语句不起做用。因此就把数据库中的数据所有读取出来了。
若是:执行
select * from users where username='' ;DROP Database (DB Name) --' and password=''
则会产生很严重的后果。html
怎样预防SQL注入
预防SQL注入主要有三个方式 :
1.采用预编译语句集(PreparedStatement),其内置处理sql注入的能力。程序员
String hql=”from User user where user.username=:username ” and
user.password=:password ;
Query query=session.createQuery(hql);
query.setParameter(“username”,name,Hibernate.STRING)
query.setParameter("password",password,Hibernate.STRING);
- 采用拦截器对用户输入的参数进行转义校验。如下以spring mvc 为例。
首先咱们须要在web.xml 中配置拦截器:
<filter>
<description>XSS过滤</description>
<filter-name>XssEscape</filter-name>
<filter-class>com.jay.controller.XssFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XssEscape</filter-name>
<url-pattern>*.html</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
接着咱们来看一下拦截器的代码web
public class XssFilter implements Filter{
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
}
@Override
public void destroy() {
}
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}
@Override
public String getHeader(String name) {
return StringEscapeUtils.escapeHtml4(super.getHeader(name));
}
@Override
public String getQueryString() {
return StringEscapeUtils.escapeHtml4(super.getQueryString());
}
@Override
public String getParameter(String name) {
return StringEscapeUtils.escapeHtml4(super.getParameter(name));
}
@Override
public String[] getParameterValues(String name) {
String[] values = super.getParameterValues(name);
if(values != null) {
int length = values.length;
String[] escapseValues = new String[length];
for(int i = 0; i < length; i++){
escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);
}
return escapseValues;
}
return super.getParameterValues(name);
}
相关文章
- 1. 如何预防sql注入
- 2. web安全 XSS、CSRF 漏洞、SQL 注入漏洞,跳转漏洞
- 3. 什么是sql注入,xss漏洞?
- 4. SQL注入处存在的XSS漏洞
- 5. PHP 预防CSRF、XSS、SQL注入攻击
- 6. SQL 注入漏洞产生的缘由?如何防止?
- 7. Spring MVC 如何防止XSS、SQL注入攻击
- 8. sql注入漏洞与防范
- 9. SQL注入漏洞浅析及防御
- 10. php防止sql注入漏洞代码
- 更多相关文章...
- • XSD 如何使用? - XML Schema 教程
- • Spring DI(依赖注入)的实现方式:属性注入和构造注入 - Spring教程
- • Spring Cloud 微服务实战(三) - 服务注册与发现
- • Java Agent入门实战(一)-Instrumentation介绍与使用
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章