如何預防SQL注入,XSS漏洞(spring,java)
SQL注入簡介
SQL注入是因爲程序員對用戶輸入的參數沒有作好校驗,讓不法分子鑽了SQL的空子,
好比:咱們一個登陸界面,要求用戶輸入用戶名和密碼:
用戶名: ' or 1=1--
密碼:
點擊登陸以後,若是後臺只有一條簡單的待條件的sql語句,沒有作特殊處理的話:
如:
String sql="select * from users where username='"+userName+"' and password='"+password+"' "
這樣拼接的結果是
String sql="select * from users where username='’or 1=1--' and password='' "
這條語句會將數據庫中的數據所有讀出來。
很顯然因爲username='’or 1=1中用戶名等於'' 或1=1這個條件恆成立,而後後面加上了--,而後後面的語句不起做用。因此就把數據庫中的數據所有讀取出來了。
若是:執行
select * from users where username='' ;DROP Database (DB Name) --' and password=''
則會產生很嚴重的後果。html
怎樣預防SQL注入
預防SQL注入主要有三個方式 :
1.採用預編譯語句集(PreparedStatement),其內置處理sql注入的能力。程序員
String hql=」from User user where user.username=:username 」 and
user.password=:password ;
Query query=session.createQuery(hql);
query.setParameter(「username」,name,Hibernate.STRING)
query.setParameter("password",password,Hibernate.STRING);
- 採用攔截器對用戶輸入的參數進行轉義校驗。如下以spring mvc 爲例。
首先咱們須要在web.xml 中配置攔截器:
<filter>
<description>XSS過濾</description>
<filter-name>XssEscape</filter-name>
<filter-class>com.jay.controller.XssFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XssEscape</filter-name>
<url-pattern>*.html</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
接着咱們來看一下攔截器的代碼web
public class XssFilter implements Filter{
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
}
@Override
public void destroy() {
}
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}
@Override
public String getHeader(String name) {
return StringEscapeUtils.escapeHtml4(super.getHeader(name));
}
@Override
public String getQueryString() {
return StringEscapeUtils.escapeHtml4(super.getQueryString());
}
@Override
public String getParameter(String name) {
return StringEscapeUtils.escapeHtml4(super.getParameter(name));
}
@Override
public String[] getParameterValues(String name) {
String[] values = super.getParameterValues(name);
if(values != null) {
int length = values.length;
String[] escapseValues = new String[length];
for(int i = 0; i < length; i++){
escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);
}
return escapseValues;
}
return super.getParameterValues(name);
}
相關文章
- 1. 如何預防sql注入
- 2. web安全 XSS、CSRF 漏洞、SQL 注入漏洞,跳轉漏洞
- 3. 什麼是sql注入,xss漏洞?
- 4. SQL注入處存在的XSS漏洞
- 5. PHP 預防CSRF、XSS、SQL注入攻擊
- 6. SQL 注入漏洞產生的緣由?如何防止?
- 7. Spring MVC 如何防止XSS、SQL注入攻擊
- 8. sql注入漏洞與防範
- 9. SQL注入漏洞淺析及防禦
- 10. php防止sql注入漏洞代碼
- 更多相關文章...
- • XSD 如何使用? - XML Schema 教程
- • Spring DI(依賴注入)的實現方式:屬性注入和構造注入 - Spring教程
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
- • Java Agent入門實戰(一)-Instrumentation介紹與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章