- 浏览: 230610 次
- 性别:
- 来自: 深圳
-
文章分类
最新评论
-
wahahachuang8:
GoEasy 实时推送支持IE6-IE11及大多数主流浏览器的 ...
服务器推送技术 java -
mahuanjian:
[flash=200,200][/flash]
服务器推送技术 java -
wenjundiandian:
下面有网页编辑器的话还是会被隐藏.
ext中消息框、提示框、确认框显示在最前面的解决方法 -
天塔上的猫:
/**
* JAVA常见的权限控制算法的实现
*
* ...
JAVA常见的权限控制算法的实现
定义包装器对request进行包装,修改其内的getParameter方法,
使getParameter方法具有防SQL注入的功能
一、定义一个防SQL注入的类,目的在于转换一些特殊符号
public class SQLSafe{
public static String tran(String words){
if(words!=null){
if(words.indexOf("%0d%0a")>=0)
{
words = words.replace("%0d%0a", "");
}
StringBuffer stringbuffer = new StringBuffer();
int j = words.length();
for(int i = 0; i < j; i++)
{
char c = words.charAt(i);
switch(c)
{
case 60: stringbuffer.append("<"); break;
case 62: stringbuffer.append(">"); break;
case 39: stringbuffer.append("'");break;
case 34: stringbuffer.append("""); break;
case 169: stringbuffer.append("©"); break;
case 174: stringbuffer.append("®"); break;
case 165: stringbuffer.append("¥"); break;
case 8364: stringbuffer.append("€"); break;
case 8482: stringbuffer.append("™"); break;
case 13:
if(i < j - 1 && words.charAt(i + 1) == 10)
{stringbuffer.append("<br>");
i++;
}
break;
case 32:
if(i < j - 1 && words.charAt(i + 1) == ' ')
{
stringbuffer.append(" ");
i++;
break;
}
default:
stringbuffer.append(c);
break;
}
}
return new String(stringbuffer.toString());
}else{
return words;
}
}
public static String unTran(String words){
String result = "";
String strTo ="'";
int intFromLen = strTo.length();
int intPos = 0;
if(words==null||"".equals(words)){
return words;
}
while((intPos=words.indexOf("'"))!=-1){
result = result + words.substring(0,intPos);
result = result + strTo;
words = words.substring(intPos+intFromLen);
}
result = result + words;
return result;
}
public static boolean checkSql(String words,String[] sqls){
if(words==null||"".equalsIgnoreCase(words.trim()))
return false;
words = words.toLowerCase();
for(String s:sqls){
if(words.indexOf(s)!=-1&&s.length()==1&&s.indexOf("'")==-1)
return true;
if(words.indexOf(" "+s+" ")!=-1&&s.length()>1&&s.indexOf("'")==-1)
return true;
}
return false;
}
}
二、定义一个包装器类
import java.util.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
public class ParameterRequestWrapper extends HttpServletRequestWrapper {
private Map params;
public ParameterRequestWrapper(HttpServletRequest request) {
super(request);
this.params=request.getParameterMap();;
}
public Map getParameterMap() {
return params;
}
public Enumeration getParameterNames() {
Vector l=new Vector(params.keySet());
return l.elements();
}
public String[] getParameterValues(String name) {
Object v = params.get(name);
if(v==null){
return null;
}else if(v instanceof String[]){
return (String[]) v;
}else if(v instanceof String){
return new String[]{(String) v};
}else{
return new String[]{v.toString()};
}
}
public String getParameter(String name) {
Object v = params.get(name);
if(v==null){
return null;
}else if(v instanceof String[]){
String []strArr=(String[]) v;
if(strArr.length>0){
return SQLSafe.tran(strArr[0]); //对经过getParameter的返回值进行防SQL注入
}else{
return null;
}
}else if(v instanceof String){
return SQLSafe.tran((String) v);
}else{
return v.toString();
}
}
}
第三、通过过滤器对request进行包装
ParameterRequestWrapper prw = new ParameterRequestWrapper((HttpServletRequest)request);//定义包装器对request进行包装
FChain.doFilter(prw, response);
这样就实现了对所有的request.getParameter()进行包装,令通过其传入的参数都经过SQLSafe的转码。达到防止直接在页面编辑区输入SQL代码而造成的SQL注入。
发表评论
-
利用 Heritrix 构建特定站点爬虫
2011-01-12 13:42 872Heritrix 是一个由 java 开 ... -
java解析xml文件四种方式
2011-01-10 16:23 7051.介绍 1)DOM(JAXP Crims ... -
Spring AOP的两种实现方式
2010-12-10 09:16 885来源:http://javacrazyer.iteye.com ... -
详解Java解析XML的四种方法
2010-12-09 22:31 828来源:http://mengsina.iteye.co ... -
(转载)手写压缩软件,超详细解释(哈夫曼实现)
2010-12-07 11:17 1063转载自:http://stchou.iteye.com/b ... -
comparable 与comparator的区别
2010-01-29 09:12 936Comparable & Comparator 都是用 ... -
Java经典问题算法大全
2010-01-28 20:52 3007/*【程序1】题目:古典 ... -
Java各种排序算法
2010-01-28 20:50 903/*** 排序测试类* * 排序算法的分类如下:* 1.插入排 ... -
Java细节总结
2010-01-28 20:46 691TURE、FALSE、NULL等都不是Java关键字; 数组 ... -
设计异常管理系统
2010-01-28 20:37 828——针对有效的错误处理设计异常管理系统 作者:Jean-Pie ... -
使用Filter快速对网页资源进行缓存
2010-01-28 20:18 884使用Filter快速对网页资源进行缓存,在网页资源没有改变的情 ... -
详解ThreadLocal与synchronized
2010-01-28 20:14 774Java良好的支持多线程。使用java,我们可以很轻松的编程一 ... -
在有多个选择路径的情况下,利用Switch可以使程序更加简洁有效。但由于其只能对整数选择因子进行判断,所以限制了其在其他类型尤其是String的使用,本文利用J
2010-01-28 20:04 861在有多个选择路径的情况下,利用Switch可以使程序更加简洁有 ... -
java优化编程37条
2010-01-28 20:00 6901.JVM管理两种类型的内 ... -
服务器推送技术 java
2009-12-28 12:11 6261下面介绍在ARP之上的一个非常热门的技术实现:服务器推送技术。 ... -
java排序集锦
2009-12-16 09:29 816Java代码 package sort; ... -
3DES加密解密调用示例
2009-12-15 10:02 968在java中调用sun公司提供的3DES加密解密算法时,需要使 ... -
java货币 Locale Currency NumberFormat
2009-12-04 18:14 2353使用java currency配合Locale,NumberF ... -
Deque 作为堆栈使用(ArrayDeque)
2009-12-04 18:09 2779package code.jdk; imp ... -
Random类
2009-12-04 14:00 1021Random类 (java.util) ...
相关推荐
在Java Web开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过恶意构造的SQL语句来操控数据库。为了防止这种攻击,开发者通常会使用过滤器(Filter)来对用户输入进行预处理,确保输入的数据不会对系统造成危害...
3. SQL执行:封装`Statement`或`PreparedStatement`的创建和执行,支持参数化查询,避免SQL注入风险。 4. 结果集处理:提供方便的方法来获取和处理查询结果,例如`queryForObject()`、`queryForList()`等。 5. 错误...
同时,遵循最佳实践,如使用预编译的`PreparedStatement`防止SQL注入,以及正确处理异常和关闭资源,以确保代码的健壮性和安全性。 综上所述,"SqlServer数据库连接jar包"提供了连接到SQL Server数据库所需的JDBC...
2. **安全性**:通过参数化查询(PreparedStatement)防止SQL注入攻击。在封装的SQL方法中,我们可以使用占位符(问号)来代替直接拼接字符串,避免了恶意用户输入可能导致的SQL语句执行风险。 3. **复用性**:封装...
3. 防止SQL注入:SQL注入是一种常见的安全漏洞,通过使用`PreparedStatement`而非`Statement`,可以预编译SQL语句,有效防止恶意输入导致的注入攻击。`PreparedStatement`允许将参数占位符与实际值分开,从而增强...
在XML描述文件中,SQL Maps定义了Java Bean、Map实现以及基本数据类型的包装类如何与数据库中的表和记录对应。这些映射文件通常包含SQL查询、存储过程以及事务管理等元素,使得开发者无需编写大量JDBC代码就能完成...
Java是世界上最流行的编程语言之一,尤其在企业级应用开发领域占据着重要地位。...56. **JDBC中的P**:可能是指PreparedStatement,预编译的SQL语句,能防止SQL注入,提高性能。 这只是部分Java面试中涉及
Statement用于执行静态SQL语句,而PreparedStatement则允许预编译SQL语句,更适用于处理包含参数的查询,能提高性能并防止SQL注入攻击。ResultSet对象则是执行查询后返回的结果集,可以遍历其中的数据行。 在Java...
例如,限制字符串长度,检查数字范围,防止SQL注入等。 - **使用HTTPS**:加密传输数据,防止中间人攻击,保护请求参数不被篡改。 - **使用CSRF Token**:防止跨站请求伪造,每个表单提交都携带一个随机生成的安全...
- `PreparedStatement`:预编译SQL语句,避免SQL注入,且执行速度快于`Statement`。 - 数据库连接池:如C3P0、HikariCP等,用于高效管理和复用数据库连接。 - 结果集获取:通过列名而非下标获取结果,确保代码对...
7. **安全性考虑**: 需要确保上传的文件不会导致安全问题,如SQL注入或执行恶意代码。应验证文件类型,避免上传脚本或可执行文件,限制文件大小,并对文件名进行清理,防止路径遍历攻击。 8. **用户体验优化**: ...
PreparedStatement可以防止SQL注入,因为参数是动态插入的,且可以批量处理操作。 5. **JSP与Servlet的区别、共同点和应用**: JSP(JavaServer Pages)主要用于展示视图,其内容主要由HTML和JSP标签组成,更适合...
【JAVA 面试题汇总】是一份集合了各种JAVA面试常见问题的资料,涵盖了核心JAVA、面向对象设计与UML、XML、SQL、JDBC、Hibernate、Web技术、EJB、Spring、数据结构与算法、计算机基础知识以及C++等多个方面。...
2. Statement与PreparedStatement:PreparedStatement预编译SQL,执行效率高,支持参数化查询,防止SQL注入;Statement适用于一次性SQL执行,效率较低,需要手动处理SQL特殊字符。 3. 数据库事务:事务是一系列原子...
自动装箱允许基本类型与对应的包装器类型之间进行无缝转换,而自动拆箱则反之。这一特性简化了代码,使得开发者不必手动进行装箱和拆箱操作。在处理`RowSet`数据时,此特性可能会发挥作用,特别是在将数据库结果集...
`java.lang`包含基本类型包装器和系统相关类,如`String`、`Object`;`java.io`提供输入输出功能,如`File`、`InputStream`、`OutputStream`;`java.util`包含集合框架、日期时间、泛型、算法等,如`ArrayList`、`...
Java面试题大全涵盖了Java开发中的核心知识点,包括基础语法、面向对象、异常处理、集合框架、线程、I/O与Socket、对象导向分析与设计(OOAD)、UML、XML、SQL、JDBC、Hibernate、Web开发、EJB、Spring、数据结构与...
2. SQL语句的预编译与参数绑定:预编译的PreparedStatement可以防止SQL注入,并提高多次执行相同SQL语句的效率。封装类应提供一个方法,接受SQL模板和参数,生成PreparedStatement对象。 3. 数据操作接口:创建通用...
Java学习流程介绍以及Java核心思想涉及多个阶段,涵盖了从基础到高级的广泛技术领域。以下是对这些阶段的详细解析: 1. **J2SE(Java Standard Edition)**:这是Java学习的基础,包括面向对象编程的基本概念,如...
【Java面试知识点详解】 在Java程序员的面试过程中,掌握核心知识点和面试技巧至关重要。下面将根据标题和描述,深入解析一些常见的Java面试知识点。 1. **简历制作与包装** - **工作经验**:简历上表明适当的...