`
ssxxjjii
  • 浏览: 948888 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

StringEscapeUtils

阅读更多

org.apache.commons.lang.StringEscapeUtils

类可以对js sql html xml等代码进行转义!用来处理前端js注入代码

SQL特殊字符转义

  应该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安全问题。网络中有大量讲解 SQL 注入的文章,感兴趣的读者可以搜索相关的资料深入研究。

  虽然 SQL 注入的后果很严重,但是只要对动态构造的 SQL 语句的变量进行特殊字符转义处理,就可以避免这一问题的发生了。来看一个存在安全漏洞的经典例子:

SELECT COUNT(userId)
FROM t_user
WHERE userName='”+userName+”' AND password ='”+password+”';

  以上 SQL 语句根据返回的结果数判断用户提供的登录信息是否正确,如果 userName 变量不经过特殊字符转义处理就直接合并到 SQL 语句中,黑客就可以通过将 userName 设置为 “1' or '1'='1”绕过用户名/密码的检查直接进入系统了。

  所以除非必要,一般建议通过 PreparedStatement 参数绑定的方式构造动态 SQL 语句,因为这种方式可以避免 SQL 注入的潜在安全问题。但是往往很难在应用中完全避免通过拼接字符串构造动态 SQL 语句的方式。为了防止他人使用特殊 SQL 字符破坏 SQL 的语句结构或植入恶意操作,必须在变量拼接到 SQL 语句之前对其中的特殊字符进行转义处理。Spring 并没有提供相应的工具类,您可以通过 jakarta commons lang 通用类包中(spring/lib/jakarta-commons/commons-lang.jar)的 StringEscapeUtils 完成这一工作:

  清单 4. SqlEscapeExample

package com.baobaotao.escape;
import org.apache.commons.lang.StringEscapeUtils;
public class SqlEscapeExample {
  public static void main(String[] args) {
    String userName = ”1' or '1'='1”;
    String password = ”123456”;
    userName = StringEscapeUtils.escapeSql(userName);
    password = StringEscapeUtils.escapeSql(password);
    String sql = ”SELECT COUNT(userId) FROM t_user WHERE userName='”
      + userName + ”' AND password ='” + password + ”'”;
    System.out.println(sql);
  }
}

  事实上,StringEscapeUtils 不但提供了 SQL 特殊字符转义处理的功能,还提供了 HTML、XML、JavaScript、Java 特殊字符的转义和还原的方法。如果您不介意引入 jakarta commons lang 类包,我们更推荐您使用 StringEscapeUtils 工具类完成特殊字符转义处理的工作。

 

 

------------------------------

 方法入参检测工具类

  Web 应用在接受表单提交的数据后都需要对其进行合法性检查,如果表单数据不合法,请求将被驳回。类似的,当我们在编写类的方法时,也常常需要对方法入参进行合法性检查,如果入参不符合要求,方法将通过抛出异常的方式拒绝后续处理。举一个例子:有一个根据文件名获取输入流的方法:InputStream getData(String file),为了使方法能够成功执行,必须保证 file 入参不能为 null 或空白字符,否则根本无须进行后继的处理。这时方法的编写者通常会在方法体的最前面编写一段对入参进行检测的代码,如下所示:

public InputStream getData(String file) {
  if (file == null || file.length() == 0|| file.replaceAll(”s”, ””).length() == 0) {
    throw new IllegalArgumentException(”file入参不是有效的文件地址”);
  }

}

  类似以上检测方法入参的代码是非常常见,但是在每个方法中都使用手工编写检测逻辑的方式并不是一个好主意。阅读 Spring 源码,您会发现 Spring 采用一个 org.springframework.util.Assert 通用类完成这一任务。

  Assert 翻译为中文为“断言”,使用过 JUnit 的读者都熟知这个概念,它断定某一个实际的运行值和预期想一样,否则就抛出异常。Spring 对方法入参的检测借用了这个概念,其提供的 Assert 类拥有众多按规则对方法入参进行断言的方法,可以满足大部分方法入参检测的要求。这些断言方法在入参不满足要求时就会抛出 IllegalArgumentException。下面,我们来认识一下 Assert 类中的常用断言方法:


断言方法     说明
notNull(Object object)     当 object 不为 null 时抛出异常,notNull(Object object, String message) 方法允许您通过 message 定制异常信息。和 notNull() 方法断言规则相反的方法是 isNull(Object object)/isNull(Object object, String message),它要求入参一定是 null;
isTrue(boolean expression) / isTrue(boolean expression, String message)     当 expression 不为 true 抛出异常;
notEmpty(Collection collection) / notEmpty(Collection collection, String message)     当集合未包含元素时抛出异常。notEmpty(Map map) / notEmpty(Map map, String message) 和 notEmpty(Object[] array, String message) / notEmpty(Object[] array, String message) 分别对 Map 和 Object[] 类型的入参进行判断;
hasLength(String text) / hasLength(String text, String message)     当 text 为 null 或长度为 0 时抛出异常;
hasText(String text) / hasText(String text, String message)     text 不能为 null 且必须至少包含一个非空格的字符,否则抛出异常;
isInstanceOf(Class clazz, Object obj) / isInstanceOf(Class type, Object obj, String message)     如果 obj 不能被正确造型为 clazz 指定的类将抛出异常;
isAssignable(Class superType, Class subType) / isAssignable(Class superType, Class subType, String message)     subType 必须可以按类型匹配于 superType,否则将抛出异常;



  使用 Assert 断言类可以简化方法入参检测的代码,如 InputStream getData(String file) 在应用 Assert 断言类后,其代码可以简化为以下的形式:

public InputStream getData(String file){
  Assert.hasText(file,”file入参不是有效的文件地址”);
  ① 使用 Spring 断言类进行方法入参检测

}

  可见使用 Spring 的 Assert 替代自编码实现的入参检测逻辑后,方法的简洁性得到了不少的提高。Assert 不依赖于 Spring 容器,您可以大胆地在自己的应用中使用这个工具类

分享到:
评论
2 楼 Netpet_11 2010-08-05  
楼主所说的SQL注入 是不是应该将password 设置为 “1' or '1'='1” 而不是将 userName 设置为 “1' or '1'='1”。
1 楼 zbx134062 2010-02-05  
长了常识了。谢谢。

相关推荐

    org.apache.commons.lang.StringEscapeUtils

    解决json数据中,返回的数据格式中带有反斜杠 如下所示{\"Count\":\"3\",\"ErrorString\":\"\",\"Success\":true,\"URL\":\"http:\\\/\\\/172.16.80.65:8080\\\/LoginSSO.aspx?UserCode=wubg&Type=WorkItem\",\...

    commons-lang3-3.4jar.rar

    `StringEscapeUtils` 类是Apache Commons Lang中的一个关键组件,专门用于处理字符串的转义和unescape操作。在Java标准库中,字符串的转义和unescape功能相对有限,而`StringEscapeUtils`则提供了更全面的解决方案。...

    消除斜杠commons-lang3-3.12.0工具类.zip

    在描述中提到的"StringEscapeUtils方法消除json反斜杠",指的是Apache Commons Lang库中的一个工具类`StringEscapeUtils`,它提供了一系列的方法来处理字符串中的特殊字符。在处理JSON数据时,我们常常会遇到反斜杠...

    在Java中轻松将HTML格式文本转换为纯文本(保留换行)

    第一步:引入Jsoup和lang和lang3的依赖: ...lang和lang3这两个包里有转换所需的工具类 ...import org.apache.commons.lang.StringEscapeUtils; import org.apache.commons.lang3.StringUtils; import org.jsoup.Jsoup; im

    详解json串反转义(消除反斜杠)

    在Java中,Apache Commons Lang库提供了便捷的工具类`StringEscapeUtils`,其`unescapeJavaScript()`方法可以轻松完成这一任务。理解并正确应用这个过程对于有效处理JSON数据至关重要,尤其是在进行数据交换和序列化...

    Spring-MVC处理XSS、SQL注入攻击的方法总结

    value = StringEscapeUtils.escapeJavaScript(value); } if (escapeSQL) { value = StringEscapeUtils.escapeSql(value); } setValue(value); } } @Override public String getAsText() { Object value ...

    commons-lang3-3.1_jar

    `StringEscapeUtils`是Apache Commons Lang中的一个关键类,它提供了一系列静态方法,用于转义和unescape字符串。这些方法主要应用于处理XML、HTML、JavaScript和SQL等格式的字符串,确保它们在特定上下文中正确且...

    commons-lang3-3.4-API文档-中文版.zip

    赠送jar包:commons-lang3-3.4.jar; 赠送原API文档:commons-lang3-3.4-javadoc.jar; 赠送源代码:commons-lang3-3.4-sources.jar; 赠送Maven依赖信息文件:commons-lang3-3.4.pom; 包含翻译后的API文档:...

    commons-lang3-3.8.1.rar

    Apache Commons Lang中的`StringEscapeUtils`类是用于处理字符串转义的重要工具,尤其是在防止跨站脚本(XSS)攻击方面。XSS是一种常见的Web安全漏洞,攻击者通过注入恶意脚本到网页中,使用户在不知情的情况下执行...

    详解json串反转义(消除反斜杠).docx

    下面将详细介绍其中一种简便的方法——使用 Apache Commons Lang 库中的 `StringEscapeUtils.unescapeJavaScript()` 方法。 #### 4. 使用 Apache Commons Lang 库进行反转义 Apache Commons Lang 是一个非常实用的...

    字符串的encode/escape

    String unescapedHtml = StringEscapeUtils.unescapeHtml4(escapedHtml); System.out.println("Unescaped HTML: " + unescapedHtml); } } ``` 在这个例子中,`URLEncoder.encode()`用于URL编码,`...

    commons-math 3.6.1.jar

    《Apache Commons Math 3.6.1:数学计算与统计的高效工具》 Apache Commons Math 是一个开源项目,提供了一系列用于执行常见数学和统计运算的Java库。在标题提到的 "commons-math 3.6.1.jar" 中,我们关注的是这个...

    处理SQL语句commons-lang-2.6.jar

    apache工具包common-lang中有一个很有用的处理字符串的工具类,其中之一就是StringEscapeUtils,这个工具类是在2.3版本以上加上的去的,利用它能很方便的进行html,xml,java等的转义与反转义,而且还能对关键字符串...

    commons-lang3-3.1.jar.zip-java Html解码组件库

    Apache Commons Lang 包含了一个名为`StringEscapeUtils`的类,它是处理字符串转义的关键。在这个3.1版本中,`StringEscapeUtils`提供了一个`unescapeHtml()`方法,可以将HTML编码的字符串解码为原始的非转义格式。...

    富文本编辑框在jsp页面的插件与jar包

    你可以使用`java.core`中的`StringEscapeUtils`类(在`org.apache.commons.lang3`包下)进行转义操作: ```java import org.apache.commons.lang3.StringEscapeUtils; // 转义HTML String escapedHtml = ...

    Struts2-007简单分析1

    为了修复这个漏洞,Apache Struts在后续版本中引入了安全措施,如使用`StringEscapeUtils.escape()`对用户输入进行转义,防止命令执行。这使得字符串不再直接参与OGNL表达式的执行,而是经过转义处理,降低了攻击的...

    escape.sql

    escape.sql

    commons-lang3-3.6.jar

    String str = "“...String convStr = StringEscapeUtils.unescapeHtml(str);//apache的jar包:commons-lang-*.jar可以将html转换的符号转换过来(网上抄来的) Sysout(convStr);//“!@#¥%……&——+”

    url传值到Action乱码解决方案

    例如,我们可以使用Apache Commons的StringEscapeUtils类来对参数进行编码转换。或者,我们可以使用Struts2的built-in机制来解决乱码问题。 结论 在本文中,我们讨论了URL传值到Action乱码问题的解决方案。我们...

    看例子练apache_commons之lang篇

    `StringEscapeUtils` 类提供了对字符串进行转义和去转义的方法。 - **StringEscapeUtils.escapeHtml4()**: 转义HTML字符。 - **StringEscapeUtils.unescapeHtml4()**: 去转义HTML字符。 #### 九、StringUtils 的...

Global site tag (gtag.js) - Google Analytics