java类过滤器,防止页面SQL注入

package com.tarena.dingdang.filter;  
  
import java.io.IOException;  
import java.util.Enumeration;  
  
import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
  
public class AntiSqlInjectionfilter implements Filter {  
  
    public void destroy() {  
        // TODO Auto-generated method stub  
    }  
      
    public void init(FilterConfig arg0) throws ServletException {  
        // TODO Auto-generated method stub  
    }  
      
    public void doFilter(ServletRequest args0, ServletResponse args1,  
            FilterChain chain) throws IOException, ServletException {  
        HttpServletRequest req=(HttpServletRequest)args0;  
        HttpServletRequest res=(HttpServletRequest)args1;  
         //获得所有请求参数名  
        Enumeration params = req.getParameterNames();  
        String sql = "";  
        while (params.hasMoreElements()) {  
            //得到参数名  
            String name = params.nextElement().toString();  
            //System.out.println("name===========================" + name + "--");  
            //得到参数对应值  
            String[] value = req.getParameterValues(name);  
            for (int i = 0; i < value.length; i++) {  
                sql = sql + value[i];  
            }  
        }  
        //System.out.println("============================SQL"+sql);  
        //有sql关键字,跳转到error.html  
        if (sqlValidate(sql)) {  
            throw new IOException("您发送请求中的参数中含有非法字符");  
            //String ip = req.getRemoteAddr();  
        } else {  
            chain.doFilter(args0,args1);  
        }  
    }  
      
    //效验  
    protected static boolean sqlValidate(String str) {  
        str = str.toLowerCase();//统一转为小写  
        String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" +  
                "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" +  
                "table|from|grant|use|group_concat|column_name|" +  
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +  
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字,可以手动添加  
        String[] badStrs = badStr.split("\\|");  
        for (int i = 0; i < badStrs.length; i++) {  
            if (str.indexOf(badStrs[i]) >= 0) {  
                return true;  
            }  
        }  
        return false;  
    }  
}  
  
  
<!--在web.xml文件中的配置-->  
<!-- 防止SQL注入的过滤器 -->  
    <filter>  
        <filter-name>antiSqlInjection</filter-name>  
        <filter-class>com.tarena.dingdang.filter.AntiSqlInjectionfilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>antiSqlInjection</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏web前端教室

javascript 红皮高程(21)-- 乘性操作符

注意啊,是乘性操作符,不是乘法操作符! ECMAScript定义了3个乘性操作符:乘法,除法,求模。它们的操作数在非数值的情况下,会执行自动的类型转换。要注意,...

1949
来自专栏数据结构与算法

POJ 1985 Cow Marathon(树的直径)

Description After hearing about the epidemic of obesity in the USA, Farmer John...

3356
来自专栏HansBug's Lab

1641: [Usaco2007 Nov]Cow Hurdles 奶牛跨栏

1641: [Usaco2007 Nov]Cow Hurdles 奶牛跨栏 Time Limit: 5 Sec  Memory Limit: 64 MB Sub...

2686
来自专栏Danny的专栏

【软考路上】——原码、反码、补码、移码

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/huyuyang6688/article/...

3331
来自专栏偏前端工程师的驿站

基础野:细说原码、反码和补码

Brief                                说来惭愧虽然刚接触计算机时已经学过原码、反码和补码的内容,但最近重温时却发现“这是什么...

2838
来自专栏ml

Java 基础知识点(必知必会其二)

   1.如何将数字输出为每三位逗号分隔的格式,例如“1,234,467”?    1 package com.Gxjun.problem; 2 3 i...

3745
来自专栏GIS讲堂

大量POI点展示的一种解决方案——续

在上文“ 大量POI点展示的一种解决方案”中,介绍了在在后台将POI生成图片在前台展示,文章中没有涉及到点的抽稀问题,也就是当点的数据量非常大的时候,这种展示方...

1073
来自专栏拂晓风起

actionscript DES 加密 解密 (AES,其他加密)

973
来自专栏ml

HDUOJ------Lovekey

Lovekey Time Limit: 3000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K (J...

2759
来自专栏鸿的学习笔记

写给开发者的机器学习指南(十二)

此代码加载DJI数据,并将其添加到已经包含我们自己的股票市场指数的图形上。但是,当我们执行这段代码时,结果如下。

1022

扫码关注云+社区