• 如何预防SQL注入,XSS漏洞(spring,java)


    SQL注入简介

    SQL注入是由于程序员对用户输入的参数没有做好校验,让不法分子钻了SQL的空子,
    比如:我们一个登录界面,要求用户输入用户名和密码:
    用户名: ' or 1=1--
    密码:
    点击登录之后,如果后台只有一条简单的待条件的sql语句,没有做特殊处理的话:
    如:
    String sql="select * from users where username='"+userName+"' and password='"+password+"' "
    这样拼接的结果是
    String sql="select * from users where username='’or 1=1--' and password='' "
    这条语句会将数据库中的数据全部读出来。
    很显然由于username='’or 1=1中用户名等于'' 或1=1这个条件恒成立,然后后面加上了--,然后后面的语句不起作用。所以就把数据库中的数据全部读取出来了。
    如果:执行
    select * from users where username='' ;DROP Database (DB Name) --' and password=''
    则会产生很严重的后果。

    怎样预防SQL注入

    预防SQL注入主要有三个方式 :
    1.采用预编译语句集(PreparedStatement),其内置处理sql注入的能力。

    String hql=”from User user where user.username=:username ” and
    user.password=:password ; 
    Query query=session.createQuery(hql); 
    query.setParameter(“username”,name,Hibernate.STRING)
    query.setParameter("password",password,Hibernate.STRING); 
    
    1. 采用拦截器对用户输入的参数进行转义校验。以下以spring mvc 为例。
      首先我们需要在web.xml 中配置拦截器:
    <filter>
    		<description>XSS过滤</description>
    		<filter-name>XssEscape</filter-name>
    		<filter-class>com.jay.controller.XssFilter</filter-class>
    	</filter>
    	<filter-mapping>
    		<filter-name>XssEscape</filter-name>
    		<url-pattern>*.html</url-pattern>
    		<dispatcher>REQUEST</dispatcher>
    	</filter-mapping>
    

    接着我们来看一下拦截器的代码

    public class XssFilter implements Filter{
        @Override  
        public void init(FilterConfig filterConfig) throws ServletException {  
        }  
      
        @Override  
        public void doFilter(ServletRequest request, ServletResponse response,  
                FilterChain chain) throws IOException, ServletException {  
            chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);  
        }  
      
        @Override  
        public void destroy() {  
        }  
    
    public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
      
        public XssHttpServletRequestWrapper(HttpServletRequest request) {  
            super(request);  
        }  
      
        @Override  
        public String getHeader(String name) {  
            return StringEscapeUtils.escapeHtml4(super.getHeader(name));  
        }  
      
        @Override  
        public String getQueryString() {  
            return StringEscapeUtils.escapeHtml4(super.getQueryString());  
        }  
      
        @Override  
        public String getParameter(String name) {  
            return StringEscapeUtils.escapeHtml4(super.getParameter(name));  
        }  
      
        @Override  
        public String[] getParameterValues(String name) {  
            String[] values = super.getParameterValues(name);  
            if(values != null) {  
                int length = values.length;  
                String[] escapseValues = new String[length];  
                for(int i = 0; i < length; i++){  
                    escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);  
                }  
                return escapseValues;  
            }  
            return super.getParameterValues(name);  
        }  
    
  • 相关阅读:
    假期小作业1
    Python_day4
    Python_day3
    Python_day2
    12/06
    12/05
    python系统学习:第三周之简单的三级菜单
    python系统学习:第二周之字典应用
    python系统学习:第二周之字符串函数练习
    python系统学习:第二周之购物车功能
  • 原文地址:https://www.cnblogs.com/Fly-Bob/p/7912800.html
Copyright © 2020-2023  润新知