Java项目安全处理方法

更新时间：2017年09月18日 10:16:04 作者：kxbhf的博客

这篇文章主要介绍了Java项目安全处理方法，URL中参数显示,sql拼接问题,需要的朋友可以参考下

一、URL中参数显示问题，解决方案：

1、普通Get请求修改为Post请求

2、参数加密（js加密，Java解密）

二、Mybatis模糊查询中，sql拼接问题，解决方案方案：

1、使用安全的符号和方法，xml中拼接示例：

<if test="stateList != null">
  state in 
  <foreach close=")" collection="stateList" index="index" item="sta" open="(" separator=",">
    #{stateList[${index}]}
  </foreach>
</if>
<if test="title != null and title != ''">
    and title like concat('%',#{title},'%') 
</if>

2、Java中转义特殊字符，Java中字符处理示例：

param = param.replace("%", "\\%");
param = param.replace("_", "\\_");
param = param.replace(",", "\\,");
param = param.replace("'", "\\'");
param = param.replace("/", "//");
param = param.replace("\\", \\\\);

三、文件上传安全问题

解决方案：判断文件名、请求ContentType和文件头内容。

文件头内容判断：

常见文件类型识别

常用文件的头信息： 
JPEG (jpg)，文件头：FFD8FFE1 
PNG (png)，文件头：89504E47 
GIF (gif)，文件头：47494638
TIFF (tif)，文件头：49492A00 
Windows Bitmap (bmp)，文件头：424D 
CAD (dwg)，文件头：41433130
Adobe Photoshop (psd)，文件头：38425053
Rich Text Format (rtf)，文件头：7B5C727466 
XML (xml)，文件头：3C3F786D6C 
HTML (html)，文件头：68746D6C3E 
Email [thorough only] (eml)，文件头：44656C69766572792D646174653A 
Outlook Express (dbx)，文件头：CFAD12FEC5FD746F 
Outlook (pst)，文件头：2142444E 
MS Word/Excel (xls.or.doc)，文件头：D0CF11E0 
MS Access (mdb)，文件头：5374616E64617264204A 
WordPerfect (wpd)，文件头：FF575043 
Postscript (eps.or.ps)，文件头：252150532D41646F6265 
Adobe Acrobat (pdf)，文件头：255044462D312E 
Quicken (qdf)，文件头：AC9EBD8F 
Windows Password (pwl)，文件头：E3828596 
ZIP Archive (zip)，文件头：504B0304 
RAR Archive (rar)，文件头：52617221
Wave (wav)，文件头：57415645
AVI (avi)，文件头：41564920
Real Audio (ram)，文件头：2E7261FD 
Real Media (rm)，文件头：2E524D46 
MPEG (mpg)，文件头：000001BA 
MPEG (mpg)，文件头：000001B3 
Quicktime (mov)，文件头：6D6F6F76 
Windows Media (asf)，文件头：3026B2758E66CF11 
MIDI (mid)，文件头：4D546864

java附件上传时后台验证上传文件的合法性

public static Map<string, string=""> mFileTypes = new HashMap<string, string="">();
static {
    // imagesFFD8FFE1
    mFileTypes.put("FFD8FFE1", ".jpg");
    mFileTypes.put("FFD8FFE0", ".jpg");
    mFileTypes.put("89504E47", ".png");
    mFileTypes.put("47494638", ".gif");
    mFileTypes.put("49492A00", ".tif");
    mFileTypes.put("424D", ".bmp");
    // 办公文档类
    mFileTypes.put("D0CF11E0", ".doc"); // ppt、doc、xls
    mFileTypes.put("504B0304", ".docx"); // pptx、docx、xlsx
    /** 注意由于文本文档录入内容过多，则读取文件头时较为多变-START **/
    mFileTypes.put("0D0A0D0A", ".txt"); // txt
    mFileTypes.put("0D0A2D2D", ".txt"); // txt
    mFileTypes.put("0D0AB4B4", ".txt"); // txt
    mFileTypes.put("B4B4BDA8", ".txt"); // 文件头部为汉字
    mFileTypes.put("73646673", ".txt"); // txt,文件头部为英文字母
    mFileTypes.put("32323232", ".txt"); // txt,文件头部内容为数字
    mFileTypes.put("0D0A09B4", ".txt"); // txt,文件头部内容为数字
    mFileTypes.put("3132330D", ".txt"); // txt,文件头部内容为数字
    /** 注意由于文本文档录入内容过多，则读取文件头时较为多变-END **/
    mFileTypes.put("25504446", ".pdf");
    mFileTypes.put("255044462D312E", ".pdf");
    // 压缩包
    mFileTypes.put("52617221", ".rar");
    mFileTypes.put("1F8B08", ".gz");
}
/**
    * 判断上传的文件是否合法
    * 
    * @param file
    *            文件
    * @param contentType
    *            是否指定类型
    * @param typeStr
    *            文件类型后缀名(.jpg,.png,.gif,.jpeg)
    * @return
    */
public Boolean checkFileIllegal(MultipartFile file, String fileName, String typeStr) {
    if (!file.isEmpty()) {
        if (StringUtils.isNotBlank(file.getContentType())) {
            String type = null;
            try {
                type = getFileType(file.getInputStream());
            } catch (IOException e) {
            logger.error("checkFileIllegal->getFileType->error:" + e.getMessage());
            return false;
        }
        if (null != type && -1 != typeStr.indexOf(type)) {
            int index = fileName.lastIndexOf(".");
            if (StringUtils.isNotBlank(fileName) && -1 != index) {
                String fileType = fileName.substring(index).toLowerCase();
                if (-1 != typeStr.indexOf(fileType)) {
                    return true;
                    }
                }
            }
        }
    }
    return false;
}
/**
 * 根据文件的输入流获取文件头信息
 * @return 文件头信息
 */
public static String getFileType(InputStream is) {
    byte[] b = new byte[4];
    if (is != null) {
        try {
            is.read(b, 0, b.length);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    return mFileTypes.get(getFileHeader(b));
}

总结

以上所说就是本文关于Java项目安全处理方法的全部内容，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对脚本之家网站的支持！

您可能感兴趣的文章:

java
项目

SpringCloud集成zookeeper实现服务注册并访问功能
zookeeper和eureka一样，是用于充当服务注册功能服务器的一个springcloud插件，这篇文章主要介绍了SpringCloud集成zookeeper实现服务注册并访问,需要的朋友可以参考下
2022-06-06
Java中的StringUtils引入及使用示例教程
这篇文章主要介绍了Java中的StringUtils引入及使用示例教程，本文结合示例代码给大家介绍的非常详细，介绍了java中StringUtils用法，感兴趣的朋友跟随小编一起看看吧
2023-01-01
详解SpringBoot中Session超时原理说明
本篇文章主要介绍了详解SpringBoot中Session超时原理说明，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2017-08-08
Java数据类型实现自动与强制转换的示例代码
Java数据类型之间的转换有自动转换和强制类型转换，这篇文章主要给大家介绍Java数据类型如何实现自动转换与强制转换,需要的朋友可以参考下
2023-05-05
ZooKeeper命令及JavaAPI操作代码
ZooKeeper是一个树形目录服务，其数据模型和Uiix的文件目录树很类似，拥有一个层次化结构，这篇文章主要介绍了ZooKeeper命令及JavaAPI操作代码,需要的朋友可以参考下
2023-03-03
Spring Boot中优雅地处理参数传递的技巧分享
最近一直在学习Spring Boot,今天将其中的从前台过来的参数传递总结一下,下面这篇文章主要给大家介绍了关于Spring Boot中优雅地处理参数传递的技巧,文中通过实例代码介绍的非常详细,需要的朋友可以参考下
2023-05-05
关于springboot 配置文件中属性变量引用方式@@解析
这篇文章主要介绍了关于springboot 配置文件中属性变量引用方式@@解析，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2020-04-04
Java中JUC包(java.util.concurrent)下的常用子类
相信大家已经对并发机制中出现的很多的常见知识点进行了总结,下面这篇文章主要给大家介绍了关于Java中JUC包(java.util.concurrent)下的常用子类的相关资料,文中通过图文以及示例代码介绍的非常详细,需要的朋友可以参考下
2022-12-12
mybatis使用Integer类型查询可能出现的问题
这篇文章主要介绍了mybatis使用Integer类型查询可能出现的问题，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2022-03-03
详解java数组进行翻转的方法有哪些
这篇文章主要介绍了详解java数组进行翻转的方法有哪些,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2021-01-01

Java项目安全处理方法

相关文章

最新评论

大家感兴趣的内容

最近更新的内容

常用在线小工具