java 过滤器filter防sql注入的实现代码

 更新时间:2016年08月25日 09:23:45   投稿:jingxian  
下面小编就为大家带来一篇java 过滤器filter防sql注入的实现代码。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧

实例如下:

XSSFilter.java

public void doFilter(ServletRequest servletrequest,
			ServletResponse servletresponse, FilterChain filterchain)
			throws IOException, ServletException {
		

		//flag = true 只做URL验证; flag = false 做所有字段的验证;
		boolean flag = true;
		if(flag){
			//只对URL做xss校验
			HttpServletRequest httpServletRequest = (HttpServletRequest) servletrequest;
			HttpServletResponse httpServletResponse = (HttpServletResponse) servletresponse;
			
			String requesturi = httpServletRequest.getRequestURL().toString();
			requesturi = URLDecoder.decode(requesturi, "UTF-8");
			if(requesturi!=null&&requesturi.indexOf("alipay_hotel_book_return.html")!=-1){
				filterchain.doFilter(servletrequest, servletresponse);
				return;
			}
			if(requesturi!=null&&requesturi.indexOf("account_bank_return.html")!=-1){
				filterchain.doFilter(servletrequest, servletresponse);
				return;
			}
			if(requesturi!=null&&requesturi.indexOf("/alipay/activity.html")!=-1){
				filterchain.doFilter(servletrequest, servletresponse);
				return ;
			}
			if(requesturi!=null&&requesturi.indexOf("/alipayLogin.html")!=-1){
				filterchain.doFilter(servletrequest, servletresponse);
				return ;
			}
			RequestWrapper rw = new RequestWrapper(httpServletRequest);
			String param = httpServletRequest.getQueryString();
			if(!"".equals(param) && param != null) {
				param = URLDecoder.decode(param, "UTF-8");
				String originalurl = requesturi + param;
				
				String sqlParam = param;
				//添加sql注入的判断
				if(requesturi.endsWith("/askQuestion.html") || requesturi.endsWith("/member/answer.html")){
					sqlParam = rw.cleanSQLInject(param);
				}
				
				String xssParam = rw.cleanXSS(sqlParam);
				requesturi += "?"+xssParam;
				
				
				if(!xssParam.equals(param)){
					System.out.println("requesturi::::::"+requesturi);
					httpServletResponse.sendRedirect(requesturi);
					System.out.println("no entered.");
//					filterchain.doFilter(new RequestWrapper((HttpServletRequest) servletrequest), servletresponse);
					return ;
				}
			}
			filterchain.doFilter(servletrequest, servletresponse);
		}else{
			
			//对请求中的所有东西都做校验,包括表单。此功能校验比较严格容易屏蔽表单正常输入,使用此功能请注意。
			filterchain.doFilter(new RequestWrapper((HttpServletRequest) servletrequest), servletresponse);
		}
	}
requestMapping: 


public RequestWrapper(){
		super(null);
	}

	public RequestWrapper(HttpServletRequest httpservletrequest) {
		super(httpservletrequest);
	}

	public String[] getParameterValues(String s) {
		String str[] = super.getParameterValues(s);
		if (str == null) {
			return null;
		}
		int i = str.length;
		String as1[] = new String[i];
		for (int j = 0; j < i; j++) {
			as1[j] = cleanXSS(cleanSQLInject(str[j]));
		}

		return as1;
	}

	public String getParameter(String s) {
		String s1 = super.getParameter(s);
		if (s1 == null) {
			return null;
		} else {
			return cleanXSS(cleanSQLInject(s1));
		}
	}

	public String getHeader(String s) {
		String s1 = super.getHeader(s);
		if (s1 == null) {
			return null;
		} else {
			return cleanXSS(cleanSQLInject(s1));
		}
	}

	public String cleanXSS(String src) {
		String temp =src;

		System.out.println("xss---temp-->"+src);
    src = src.replaceAll("<", "<").replaceAll(">", ">");
    // if (src.indexOf("address")==-1)
	//	{
     src = src.replaceAll("\\(", "(").replaceAll("\\)", ")");
		//}
   
    src = src.replaceAll("'", "'");
    
    Pattern pattern=Pattern.compile("(eval\\((.*)\\)|script)",Pattern.CASE_INSENSITIVE);  
	  Matcher matcher=pattern.matcher(src);  
	  src = matcher.replaceAll("");

	  pattern=Pattern.compile("[\\\"\\'][\\s]*javascript:(.*)[\\\"\\']",Pattern.CASE_INSENSITIVE); 
	  matcher=pattern.matcher(src);
	  src = matcher.replaceAll("\"\"");
	  
	  //增加脚本 
	  src = src.replaceAll("script", "").replaceAll(";", "")
	  	.replaceAll("\"", "").replaceAll("@", "")
	  	.replaceAll("0x0d", "")
	  	.replaceAll("0x0a", "").replaceAll(",", "");

		if(!temp.equals(src)){
			System.out.println("输入信息存在xss攻击!");
			System.out.println("原始输入信息-->"+temp);
			System.out.println("处理后信息-->"+src);
		}
		return src;
	}
	
	//需要增加通配,过滤大小写组合
	public String cleanSQLInject(String src) {
		String temp =src;
    src = src.replaceAll("insert", "forbidI")
    	.replaceAll("select", "forbidS")
    	.replaceAll("update", "forbidU")
    	.replaceAll("delete", "forbidD")
    	.replaceAll("and", "forbidA")
    	.replaceAll("or", "forbidO");
    
		if(!temp.equals(src)){
			System.out.println("输入信息存在SQL攻击!");
			System.out.println("原始输入信息-->"+temp);
			System.out.println("处理后信息-->"+src);
		}
		return src;
	}

xml配置:

<filter>
		<filter-name>XssFilter</filter-name>
		<filter-class>cn.com.jsoft.xss.XSSFilter</filter-class>
		<init-param>
			<param-name>encoding</param-name>
			<param-value>UTF-8</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>XssFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

以上代码仅仅将特殊的sql字符,特殊script脚本字符处理掉,具体的页面处理还需要后台处理!!

关于这篇java 过滤器filter防sql注入的实现代码就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持脚本之家。

相关文章

  • Java数据结构与算法入门实例详解

    Java数据结构与算法入门实例详解

    这篇文章主要介绍了Java数据结构与算法入门实例详解,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2021-03-03
  • 详解Java数组的四种拷贝方式

    详解Java数组的四种拷贝方式

    Java数组一共有四种拷贝方式: for循环、copyof/copyOfRange、arraycopy和clone。本文将为大家详细介绍一下这四种方式,感兴趣的可以了解一下
    2022-02-02
  • Java实现分页查询功能

    Java实现分页查询功能

    这篇文章主要为大家详细介绍了Java实现分页查询功能,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2022-08-08
  • Java中String、StringBuffer、StringBuilder的区别详解

    Java中String、StringBuffer、StringBuilder的区别详解

    java中String、StringBuffer、StringBuilder是编程中经常使用的字符串类,他们之间有什么区别呢?下面小编给大家总结了Java中String、StringBuffer、StringBuilder的区别详解,需要的朋友参考下吧
    2016-06-06
  • Maven继承父工程时的relativePath标签解析用法小结

    Maven继承父工程时的relativePath标签解析用法小结

    relativePath 的作用是为了找到父级工程的pom.xml,本文主要介绍了Maven继承父工程时的relativePath标签解析用法小结,具有一定的参考价值,感兴趣的可以了解一下
    2024-03-03
  • 在Java内存模型中测试并发程序代码

    在Java内存模型中测试并发程序代码

    这篇文章主要介绍了在Java内存模型中测试并发程序代码,辅以文中所提到的JavaScript库JCStress进行,需要的朋友可以参考下
    2015-07-07
  • Java实现简单的模板渲染

    Java实现简单的模板渲染

    这篇文章主要为大家详细介绍了Java实现简单的模板渲染的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2017-12-12
  • java LeetCode题解不同路径

    java LeetCode题解不同路径

    这篇文章主要为大家介绍了java LeetCode题解不同路径示例,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2023-06-06
  • java怎么创建目录(删除/修改/复制目录及文件)代码实例

    java怎么创建目录(删除/修改/复制目录及文件)代码实例

    这篇文章主要介绍了java怎么创建目录,还包括删除/修改/复制目录及文件,代码简单,下面直接看代码吧
    2013-12-12
  • Springmvc调用存储过程,并返回存储过程返还的数据方式

    Springmvc调用存储过程,并返回存储过程返还的数据方式

    这篇文章主要介绍了Springmvc调用存储过程,并返回存储过程返还的数据方式,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-11-11

最新评论