SQL注入校验

最新推荐文章于 2024-03-23 17:00:00 发布
最新推荐文章于 2024-03-23 17:00:00 发布
阅读量2.9k 收藏 7
点赞数
分类专栏: Java工具类 文章标签: SQL注入校验 代码校验SQL注入 动态SQL防注入 动态DDL防注入
原文链接:https://juejin.cn/post/6984718282024566792
版权

前言

有时业务需求,需要做动态的DDL拼接,此时在代码层级做SQL注入校验
之前有做过字段动态拼接,自己配了两个数据库字典做了一次转换,将页面传过来的值,拿到字典里进行匹配,获取到真实的数据库字段后,再执行SQL

这里翻了几篇帖子,转载记录一下,以下是转载内容:

1. 注解方式,校验入参

注解

import javax.validation.Constraint;
import javax.validation.Payload;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Retention(RetentionPolicy.RUNTIME)
@Constraint(validatedBy = SqlInjectionConstraintValidator.class)
@Target(value = { ElementType.FIELD, ElementType.METHOD, ElementType.PARAMETER })
public @interface SqlInjection {

	/**
	 * 错误提示.
	 */
	String message() default "Contains illegal characters";

	/**
	 * groups.
	 */
	Class<?>[] groups() default {};

	/**
	 * payload.
	 */
	Class<? extends Payload>[] payload() default {};
}

验证器

import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;

import javax.validation.ConstraintValidator;
import javax.validation.ConstraintValidatorContext;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

@Slf4j
public class SqlInjectionConstraintValidator implements ConstraintValidator<SqlInjection, String> {

	/**
	 * 预编译SQL过滤正则表达式
	 */
	private Pattern sqlPattern = Pattern.compile(
		"(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|(\\b(select|update|and|or|delete"
			+ "|insert|trancate|char|substr|ascii|declare|exec|count|master|into|drop|execute)\\b|(\\*|;|\\+|'|%))");

	@Override
	public void initialize(SqlInjection constraintAnnotation) {
		log.info("initialize constraint");

	}

	@Override
	public boolean isValid(String source, ConstraintValidatorContext constraintValidatorContext) {

		if (StringUtils.hasText(source)) {

			Matcher matcher = sqlPattern.matcher(source);
			if (matcher.find()) {
				log.error("包含非法字符|{}", source);
				return false;
			}
		}
		return true;
	}
}

测试:
在这里插入图片描述
在这里插入图片描述

2. 代码显式校验

/**
 * 是否含有sql注入,返回true表示含有
 * @param obj 校验内容
 * @return 如果含SQL敏感词汇,则返回true
 */
public static boolean containsSqlInjection(Object obj){
    Pattern pattern= Pattern.compile("\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b|(\\*|;|\\+|'|%)");
    Matcher matcher=pattern.matcher(obj.toString());
    return matcher.find();
}
灼烧的疯狂
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入解决方案
12-07
sql注入引起的网络安全的解决措施采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
如何用Java校验SQL语句的合法性?有这5种解决方案
pantouyuchiyu的博客
07-04 2646
要在Java中校验SQL语句的合法性,可以使用JDBC API中提供的Statement接口的execute()方法。这个方法会尝试执行给定的SQL语句,如果SQL语句不合法,则会抛出一个SQLException异常。因此,我们可以利用这个异常来判断SQL语句的合法性。
java:正则表达式检查SQL WHERE条件语句注入攻击和常量表达式
10km的专栏
12-16 4008
止外部输入的SQL语句包含注入式攻击代码,主要作法就是对字符串进行关键字检查,禁止不应该出现在SQL语句中的关键字如 `union` `delete`等等,同时还要允许这些字符串作为常量字符串中的内容出现在SQL 语句中。 对于 `where 1=1`这种用法,虽然不能算是注入攻击,但在有的情况下属于危险用法 比如在`DELETE`语句会删除全表数据。也应该被警告或禁止。 针对这种情况可以通过正则表达式实现对SQL语句的安全检查
SQL注入检测工具及方法,黑客零基础入门
Python栈
03-23 1083
SQL注入检测是通过各种手段来识别和验证应用程序是否容易受到SQL注入攻击的方法。
XSS,sql注入入参安全校验
zhyke
08-15 1084
案例1:跨站运行脚本(XSS) <html> <form> <input name="foo" value=' <?php {$_GET['foo']} ?>' > </form> </html> alert('foo') 请求参数输入上面内容 执行上面会出现 上面输入只是简单案例,按照这个思路那...
SQL注入详解
m0_67391121的博客
07-28 3088
WAF(WebApplicationFirewall)的中文名称叫做“Web应用火墙”,利用国际上公认的一种说法,WAF的定义是这样的Web应用火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。通过从上面对WAF的定义中,我们可以很清晰的了解到,WAF是一种工作在应用层的、通过特定的安全策略来专门为Web应用提供安全护的产品。...
sql注入检测工具类
性感的杏鲍菇的专栏
09-20 737
代码sql注入检测工具类。
Java代码审计 SQL注入(一)
路虽远,行将至。事虽难,做必达。
12-13 268
首先需要了解几种较为常见的SQL执行方式:①JDBC②MyBatis③Hibernate。
【java代码审计】SQL注入
m0_52923241的博客
02-28 619
没有正确的对用户的输入进行检查,将用户的输入以拼接的方式带入到SQL语句中,导致SQL注入
java解决sql注入完整的工具类
sunrj_niu的博客
08-06 2043
代码】java解决sql注入完整的工具类。
Web安全之SQL注入
01-21
一、什么是SQL注入? SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。SQL注入是指将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web...
JS代码SQL注入的方法(超简单)
10-22
下面通过两个方面给大家介绍js代码sql注入的方法,非常简单实用,感兴趣的朋友参考下吧
SQL注入漏洞检测原型工具
11-06
一个SQL注入漏洞检测原型工具,由SQL注入动态检测工具,SQL漏洞静态代码检测工具,测试用的网站3部分组成。用Java语言实现。运行时需eclipse等IDE支持。可供学习参考。
利用SQL注入漏洞登录后台
03-27
通过一些程序源码对SQL的攻击进行了细致分析,使我们对SQL Injection机理有了一个深入认识,作为一名Web应用开发人员,一定不要盲目相信用户的输入,而要对用户输入的数据进行严格的校验处理,否则的话,SQL ...
起点小说解锁.js
最新发布
04-27
起点小说解锁.js
299-煤炭大数据智能分析解决方案.pptx
04-27
299-煤炭大数据智能分析解决方案.pptx
299-教育行业信息化与数据平台建设分享.pptx
04-27
299-教育行业信息化与数据平台建设分享.pptx
基于Springboot+Vue酒店客房入住管理系统-毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
德鲁伊校验sql语句
07-29
德鲁伊校验是一种用于检测SQL注入攻击的方法。根据提供的代码,可以看出这段代码是用来判断一个对象是否包含SQL注入敏感词汇的。它使用正则表达式来匹配敏感词汇,并返回一个布尔值来表示是否包含SQL注入。所以,德鲁伊校验可以用来验证SQL语句是否存在SQL注入的风险。\[1\] #### 引用[.reference_title] - *1* [SQL注入校验](https://blog.csdn.net/qq_33803102/article/details/118901880)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [SQL布尔盲注常用语句](https://blog.csdn.net/Wu000999/article/details/100041049)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值