来源:StringEscapeUtils类的转义与反转义方法
org.apache.commons.lang.StringEscapeUtils
类可以对js sql html xml等代码进行转义!用来处理前端js注入代码
SQL特殊字符转义
应该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安全问题。网络中有大量讲解 SQL 注入的文章,感兴趣的读者可以搜索相关的资料深入研究。
虽然 SQL 注入的后果很严重,但是只要对动态构造的 SQL 语句的变量进行特殊字符转义处理,就可以避免这一问题的发生了。来看一个存在安全漏洞的经典例子:
SELECT COUNT(userId)
FROM t_user
WHERE userName='”+userName+”' AND password ='”+password+”';
以上 SQL 语句根据返回的结果数判断用户提供的登录信息是否正确,如果 userName 变量不经过特殊字符转义处理就直接合并到 SQL 语句中,黑客就可以通过将 userName 设置为 “1' or '1'='1”绕过用户名/密码的检查直接进入系统了。
所以除非必要,一般建议通过 PreparedStatement 参数绑定的方式构造动态 SQL 语句,因为这种方式可以避免 SQL 注入的潜在安全问题。但是往往很难在应用中完全避免通过拼接字符串构造动态 SQL 语句的方式。为了防止他人使用特殊 SQL 字符破坏 SQL 的语句结构或植入恶意操作,必须在变量拼接到 SQL 语句之前对其中的特殊字符进行转义处理。Spring 并没有提供相应的工具类,您可以通过 jakarta commons lang 通用类包中(spring/lib/jakarta-commons/commons-lang.jar)的
StringEscapeUtils 完成这一工作:
清单 4. SqlEscapeExample
package com.baobaotao.escape;
import org.apache.commons.lang.StringEscapeUtils;
public class SqlEscapeExample {
public static void main(String[] args) {
String userName = ”1' or '1'='1”;
String password = ”123456”;
userName = StringEscapeUtils.escapeSql(userName);
password = StringEscapeUtils.escapeSql(password);
String sql = ”SELECT COUNT(userId) FROM t_user WHERE userName='”
+ userName + ”' AND password ='” + password + ”'”;
System.out.println(sql);
}
}
事实上,StringEscapeUtils 不但提供了 SQL 特殊字符转义处理的功能,还提供了 HTML、XML、JavaScript、Java 特殊字符的转义和还原的方法。如果您不介意引入 jakarta commons lang 类包,我们更推荐您使用 StringEscapeUtils 工具类完成特殊字符转义处理的工作。
------------------------------
方法入参检测工具类
Web 应用在接受表单提交的数据后都需要对其进行合法性检查,如果表单数据不合法,请求将被驳回。类似的,当我们在编写类的方法时,也常常需要对方法入参进行合法性检查,如果入参不符合要求,方法将通过抛出异常的方式拒绝后续处理。举一个例子:有一个根据文件名获取输入流的方法:InputStream getData(String file),为了使方法能够成功执行,必须保证 file 入参不能为 null 或空白字符,否则根本无须进行后继的处理。这时方法的编写者通常会在方法体的最前面编写一段对入参进行检测的代码,如下所示:
public InputStream getData(String file) {
if (file == null || file.length() == 0|| file.replaceAll(”s”, ””).length() == 0) {
throw new IllegalArgumentException(”file入参不是有效的文件地址”);
}
…
}
类似以上检测方法入参的代码是非常常见,但是在每个方法中都使用手工编写检测逻辑的方式并不是一个好主意。阅读 Spring 源码,您会发现 Spring 采用一个 org.springframework.util.Assert 通用类完成这一任务。
Assert 翻译为中文为“断言”,使用过 JUnit 的读者都熟知这个概念,它断定某一个实际的运行值和预期想一样,否则就抛出异常。Spring 对方法入参的检测借用了这个概念,其提供的 Assert 类拥有众多按规则对方法入参进行断言的方法,可以满足大部分方法入参检测的要求。这些断言方法在入参不满足要求时就会抛出 IllegalArgumentException。下面,我们来认识一下 Assert 类中的常用断言方法:
断言方法 说明
notNull(Object object) 当 object 不为 null 时抛出异常,notNull(Object object, String message) 方法允许您通过 message 定制异常信息。和 notNull() 方法断言规则相反的方法是 isNull(Object object)/isNull(Object object, String message),它要求入参一定是 null;
isTrue(boolean expression) / isTrue(boolean expression, String message) 当 expression 不为 true 抛出异常;
notEmpty(Collection collection) / notEmpty(Collection collection, String message) 当集合未包含元素时抛出异常。notEmpty(Map map) / notEmpty(Map map, String message) 和 notEmpty(Object[] array, String message) / notEmpty(Object[] array, String message) 分别对 Map 和 Object[]
类型的入参进行判断;
hasLength(String text) / hasLength(String text, String message) 当 text 为 null 或长度为 0 时抛出异常;
hasText(String text) / hasText(String text, String message) text 不能为 null 且必须至少包含一个非空格的字符,否则抛出异常;
isInstanceOf(Class clazz, Object obj) / isInstanceOf(Class type, Object obj, String message) 如果 obj 不能被正确造型为 clazz 指定的类将抛出异常;
isAssignable(Class superType, Class subType) / isAssignable(Class superType, Class subType, String message) subType 必须可以按类型匹配于 superType,否则将抛出异常;
使用 Assert 断言类可以简化方法入参检测的代码,如 InputStream getData(String file) 在应用 Assert 断言类后,其代码可以简化为以下的形式:
public InputStream getData(String file){
Assert.hasText(file,”file入参不是有效的文件地址”);
① 使用 Spring 断言类进行方法入参检测
…
}
可见使用 Spring 的 Assert 替代自编码实现的入参检测逻辑后,方法的简洁性得到了不少的提高。Assert 不依赖于 Spring 容器,您可以大胆地在自己的应用中使用这个工具类
--------------code--------------
import org.apache.commons.lang.StringEscapeUtils;
public class EscapeString {
public static void main(String[] args) throws Exception {
String str = "中国";
System.out.println("用escapeJava方法转义之后的字符串为:"+StringEscapeUtils.escapeJava(str));
System.out.println("用unescapeJava方法反转义之后的字符串为:"+StringEscapeUtils.unescapeJava(StringEscapeUtils.escapeJava(str)));
System.out.println("用escapeHtml方法转义之后的字符串为:"+StringEscapeUtils.escapeHtml(str));
System.out.println("用unescapeHtml方法反转义之后的字符串为:"+StringEscapeUtils.unescapeHtml(StringEscapeUtils.escapeHtml(str)));
System.out.println("用escapeXml方法转义之后的字符串为:"+StringEscapeUtils.escapeXml(str));
System.out.println("用unescapeXml方法反转义之后的字符串为:"+StringEscapeUtils.unescapeXml(StringEscapeUtils.escapeXml(str)));
System.out.println("用escapeJavaScript方法转义之后的字符串为:"+StringEscapeUtils.escapeJavaScript(str));
System.out.println("用unescapeJavaScript方法反转义之后的字符串为:"+StringEscapeUtils.unescapeJavaScript(StringEscapeUtils.escapeJavaScript(str)));
/**输出结果如下:
用escapeJava方法转义之后的字符串为:/u4E2D/u56FD/u5171/u4EA7/u515A
用unescapeJava方法反转义之后的字符串为:中国
用escapeHtml方法转义之后的字符串为:中国
用unescapeHtml方法反转义之后的字符串为:中国
用escapeXml方法转义之后的字符串为:中国
用unescapeXml方法反转义之后的字符串为:中国
用escapeJavaScript方法转义之后的字符串为:/u4E2D/u56FD/u5171/u4EA7/u515A
用unescapeJavaScript方法反转义之后的字符串为:中国*/
}
}
分享到:
相关推荐
对于 JSON 字符串的反转义操作,我们可以使用该库中的 `StringEscapeUtils.unescapeJavaScript()` 方法。 ##### 4.1 添加依赖 首先,你需要在项目中添加 Apache Commons Lang 的依赖。如果你使用的是 Maven 项目,...
除了`unescapeJson()`,`StringEscapeUtils`还提供了其他有用的方法,如`escapeHtml()`、`unescapeHtml()`用于HTML转义和反转义,`escapeJava()`、`unescapeJava()`用于Java字符串的转义和反转义,以及`escapeXml()`...
总结起来,JSON串反转义是将从外部来源获取的、包含转义反斜杠的JSON字符串转换为可解析的JSON格式的过程。在Java中,Apache Commons Lang库提供了便捷的工具类`StringEscapeUtils`,其`unescapeJavaScript()`方法...
1. **HTML转义**:`escapeHtml()` 和 `unescapeHtml()` 方法可以将字符串中的HTML特殊字符转换为它们的实体表示,如将 "转义为 "<",防止XSS(跨站脚本攻击)。 2. **XML转义**:`escapeXml()` 和 `unescapeXml...
lang和lang3这两个包里有转换所需的工具类 org.jsoup jsoup 1.11.3 commons-lang commons-lang 2.6 org.apache.commons commons-lang3 3.4 第二步:直接使用即可: import org.apache.commons.lang....
使用StringEscapeUtils工具类可以方便地进行html、xml、java等的转义与反转义。例如,使用StringEscapeUtils.unescapeJava方法可以将反斜杠(\)转义的字符串还原为普通字符串。 使用replaceAll方法替换反斜杠(\)...
apache工具包common-lang中有一个很有用的处理字符串的工具类,其中之一就是StringEscapeUtils,这个工具类是在2.3版本以上加上的去的,利用它能很方便的进行html,xml,java等的转义与反转义,而且还能对关键字符串...
1. **HTML转义**:`escapeHtml()` 和 `unescapeHtml()` 方法分别用于将字符串中的HTML特殊字符转换为对应的转义序列,以及将转义后的HTML字符串还原。例如,"<" 转义为 ",">" 转义为 ">","&" 转义为 "&...
同时,使用StringEscapeUtils.unescapeHtml()方法来将转义的HTML实体转换回原来的字符。 在使用测试中,我们可以使用Html2PlainText类将HTML格式文本转换为纯文本。例如,输入一个HTML格式文本,例如:<html><body>...
1. **XML转义**:`StringEscapeUtils.escapeXml(String input)`方法将特殊字符转换为XML实体,例如将 `转义为 `<`,防止XML解析错误或XSS(跨站脚本攻击)。 2. **HTML转义**:`StringEscapeUtils.escapeHtml4...
除了HTML解码,`StringEscapeUtils`还支持其他类型的转义与非转义操作,比如XML、JavaScript和SQL的转义。这使得开发者能够统一地处理各种格式的字符串,减少了编写自定义解码逻辑的需求,提高了代码的可读性和维护...
例如,可以使用 `StringEscapeUtils.escapeSql()` 方法来转义 SQL 注入攻击中的危险字符,使用 `StringEscapeUtils.escapeHtml()` 或 `StringEscapeUtils.escapeJavaScript()` 来转义可能引发 XSS 攻击的字符。...
在这个例子中,`URLEncoder.encode()`用于URL编码,`StringEscapeUtils.escapeHtml4()`用于HTML转义,然后分别有对应的解码和unescape方法。运行这段代码,你会看到原始字符串如何经过编码和转义,以及如何恢复到...
这个类提供了各种字符串转义功能,比如将HTML、XML、JavaScript或SQL的特殊字符转义,避免注入攻击。例如,`escapeHtml()`可以将字符串中的HTML实体转换为它们的安全等价物,`unescapeJava()`则可以反转这个过程。 ...
- `StringEscapeUtils`:用于转义和unescape字符串,如HTML、XML或Java字符串。 2. **数组工具类**: - `Arrays`:Java内置的工具类,提供排序、复制、填充、比较数组等功能。 - `ArrayUtils`:Apache Commons ...
- StringEscapeUtils:字符串转义和反转义的方法。 - SystemUtils:提供获取系统属性的方法。 - Validate:数据验证工具类,提供非空验证、类型验证等。 - WordUtils:用于对字符串中的单词进行操作,如大小写转换。...
2. **使用库函数**:Java中有一些库可以帮助进行HTML过滤,例如`StringEscapeUtils`类在Apache Commons Lang库中提供了`escapeHtml()`方法,可以将字符串中的HTML特殊字符转义。 3. **自定义过滤规则**:在某些情况...
在Java中,可以使用`java.net.URLEncoder.encode()`方法,但请注意,URLEncoder通常用于URL编码,对于HTML实体可能不是最佳选择,更好的方法是使用`java.lang.StringEscapeUtils.escapeHtml()`。 7. **CSS引用**: ...
`NumberUtils` 类提供了与数字相关的工具方法。 - **NumberUtils.toInt()**: 将字符串转换为整数。 - **NumberUtils.createBigDecimal()**: 创建 `BigDecimal` 对象。 - **NumberUtils.isCreatable()**: 判断字符串...