A. jsp sql注入,和xss 問題。
sql注入的話就用sqlmap 、穿山甲、胡蘿卜 xss沒工具 需要你自己根據經驗利用(比如反射型持久型的不同利用方法)。
sql注入和xss解決方法 一般用正則表達式過濾傳入的參數,過濾字元串,檢查函數語句。 實在不會的話就用 waf
B. JSP SQL注入攻擊
防止SQL注入攻擊 永遠都是
防君子不防小人~~~
沒人敢說自己寫的程序沒有漏洞
我們只能盡自己努力去防範~~
防範方法,我知道的也是這兩種~~~
期待其他方法~
C. 在JSP中如何利用過濾器實現從SQL表中登錄
jsp中實現過濾器登錄的方法是配置filter:
在servlet中實現代碼如下:
HttpSession
session
=
request.getSession(false);
User
user
=
(session
!=
null)
?
session.getAttribute("user")
:
null;
if
(user
!=
null)
{
chain.doFilter(request,
response);
}
else
{
response.sendRedirect(request.getContextPath()
+
"/login");
}
jsp頁面提交後到驗證servlet:
String
username
=
request.getParameter("username");
String
password
=
request.getParameter("password");
Map<String,
String>
messages
=
new
HashMap<String,
String>();
if
(username
==
null
||
username.isEmpty())
{
messages.put("username",
"Please
enter
username");
}
if
(password
==
null
||
password.isEmpty())
{
messages.put("password",
"Please
enter
password");
}
if
(messages.isEmpty())
{
User
user
=
userService.find(username,
password);
if
(user
!=
null)
{
request.getSession().setAttribute("user",
user);
response.sendRedirect(request.getContextPath()
+
"/home");
return;
}
else
{
messages.put("login",
"Unknown
login,
please
try
again");
}
}
request.setAttribute("messages",
messages);
request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request,
response);
D. 關於jsp的SQL注入問題
個人觀點:sql注入無非是拼湊sql語句。
比如你的驗證查詢操作:
select * from 表 where user='admin' and pass='admin';
注入很可能是再拼湊你的這條語句:(注意我沒寫用戶名和密碼)
select * from 表 where user='' and pass=''or 1='1'
這樣我就不需要知道密碼了。直接就進入。
這好像是注入的最簡單的吧。學習中。。。。。。。
編程無止境
E. jsp 防sql注入
|關1.PreparedStatement
簡單實用
2.replaceAll(".*([';]+|(--)+).*", " "); 簡單替換
3.regx
4.str="關鍵字|關鍵字。。。。。"
String [] a=split("|")
indexOf(a[i])
大概就這么幾種了,中心就是專過濾特殊字元,和屬常用sql關鍵字
F. Java-JSP網站 防SQL注入,防XSS等攻擊有什麼好的處理辦法
過濾特殊欄位,導入驗證包
G. JSP網站 防SQL注入,防XSS等攻擊有什麼好的處理辦法
,防XSS等攻擊的話,首先要選擇PreparedStatement來處理sql語句!同時java後台還需要對頁面中接受到的參數進行字元替換!
H. jsp怎樣寫防sql注入。就是注冊的時候不能輸入<input type="">這樣的東西
public static String asHTML(String text) { if (text == null) return ""; StringBuffer results = null; char[] orig = null; int beg = 0, len = text.length(); for (int i = 0; i < len; ++i) { char c = text.charAt(i); switch (c) { case 0: case '&': case '<': case '>': case '"': if (results == null) { orig = text.toCharArray(); results = new StringBuffer(len + 10); } if (i > beg) results.append(orig, beg, i - beg); beg = i + 1; switch (c) { default: // case 0: continue; case '&': results.append("&"); break; case '<': results.append(">"); break; case '>': results.append("<"); break; case '"': results.append("\""); break; } break; } } if (results == null) return text; results.append(orig, beg, len - beg); return results.toString(); } 將特殊的符號都替換掉就可以了也可以判斷有特殊符號就不讓提交
I. j2ee怎麼防止sql注入
開發web的過程中,需要防範sql注入,或是javascript代碼注入,以下通過過濾器(filter)實現的,只實現了tomcat和weblogic下,其它應用伺服器可以參照實現即可。
非常簡單只需三個步驟:
第一步,在你的工程加入如下所示的過濾器代碼,一共兩個類:
CharFilter.java
[java] view plain
package com.hyjx.filter;
import java.io.IOException;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
import java.util.Map.Entry;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.RequestDispatcher;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.log4j.Logger;
/**
* @author jfish
* @since 2006.1.12
*/
public class CharFilter implements Filter {
public FilterConfig config;
public void setFilterConfig(FilterConfig config) {
this.config = config;
}
public FilterConfig getFilterConfig() {
return config;
}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse res = (HttpServletResponse) response;
boolean filter = true;// 是否過濾;
String excludeURL;// 不過濾的url地址
excludeURL = config.getInitParameter("excludeURL");
if (excludeURL == null || "".equals(excludeURL)) {
filter = true;
} else {
String url = req.getRequestURI();// url地址
String[] excludeURLA = excludeURL.split(",");
for (int i = 0; i < excludeURLA.length; i++) {
if (url.indexOf(excludeURLA[i]) > 0) {// 如果含有不讓過濾的url地址則不過濾。
filter = false;
}
}
}
//得到應用伺服器類型
String appServer = config.getInitParameter("appServer");
if(filter)//需要過濾
{
if("tomcat".equals(appServer))//應用伺服器為tomcat時則:
{
if(checkTomcat(req,res))
{
String webapp = req.getContextPath();
res.sendRedirect(webapp + "/charError/charError.html");
}
else
{
chain.doFilter(request, response);
}
}
else//應用伺服器為weblogic時則:
{
Map m = req.getParameterMap();
if(req instanceof ParameterRequestWrapper) {
m = ((ParameterRequestWrapper)req).getSuperRequest().getParameterMap();
req = ((ParameterRequestWrapper)req).getSuperRequest();
}
//System.out.println(((String[])m.get("op"))[0] + "-----------" + req.getParameter("op"));
ParameterRequestWrapper wrapRequest=new ParameterRequestWrapper(req, m);
if(checkWeblogic(wrapRequest, res))
{
String webapp = req.getContextPath();
res.sendRedirect(webapp + "/charError/charError.html");
}
else
{
chain.doFilter(wrapRequest, response);
}
}
}
else//不需要過濾
{
chain.doFilter(request, response);
}
}
public boolean checkWeblogic(HttpServletRequest req, HttpServletResponse response) {
Map map = req.getParameterMap();
Set set = map.entrySet();
//request中的參數設置
boolean bl = false;
if (map != null) {
for (Iterator it = set.iterator(); it.hasNext();) {
Map.Entry entry = (Entry) it.next();
if (entry.getValue() instanceof String[]) {
String[] values = (String[]) entry.getValue();
for (int i = 0; i < values.length; i++) {
//替換成全形字元。
values[i] = getQjString(values[i]);
//是否包含有特殊字元
if (getCheckString(values[i])) {
return true;
}
}
}
}
}
//cookie過濾:除了JSESSIONID以外的cookie進行過濾
Cookie[] cookies = req.getCookies();
String cookieName = "";
String cookieValue="";
if(cookies!=null)
{
for (int i = 0; i < cookies.length; i++)
{
Cookie c = cookies[i];
cookieName = c.getName();
//System.out.println("=======cookie:"+cookieName);
if(cookieName!= null && !"JSESSIONID".equals(cookieName.toUpperCase()))
{
cookieValue = c.getValue();
if (getCheckString(cookieValue)) {
return true;
}
//進行特殊字元替換
cookieValue = getQjString(cookieValue);
c.setValue(cookieValue);
response.addCookie(c) ;
}
}
}
return bl;
}
public boolean checkTomcat(HttpServletRequest req, HttpServletResponse response) {
Map map = req.getParameterMap();
//運用反射機制,讓其可修改。
try
{
Method method=map.getClass().getMethod("setLocked",new Class[]{boolean.class});
method.invoke(map,new Object[]{new Boolean(false)});
}
catch(Exception e)
{
e.printStackTrace();
}
Set set = map.entrySet();
boolean bl = false;
if (map != null) {
for (Iterator it = set.iterator(); it.hasNext();) {
Map.Entry entry = (Entry) it.next();
if (entry.getValue() instanceof String[]) {
String[] values = (String[]) entry.getValue();
for (int i = 0; i < values.length; i++) {
//替換成全形字元。
values[i] = getQjString(values[i]);
//是否包含有特殊字元
if (getCheckString(values[i])) {
return true;
}
}
}
}
}
//cookie過濾:除了JSESSIONID以外的cookie進行過濾
Cookie[] cookies = req.getCookies();
String cookieName = "";
String cookieValue="";
if(cookies!=null)
{
for (int i = 0; i < cookies.length; i++)
{
Cookie c = cookies[i];
cookieName = c.getName();
//System.out.println("=======cookie:"+cookieName);
if(!"JSESSIONID".equals(cookieName))
{
cookieValue = c.getValue();
if (getCheckString(cookieValue)) {
return true;
}
//進行特殊字元替換
cookieValue = getQjString(cookieValue);
c.setValue(cookieValue);
response.addCookie(c) ;
}
}
}
return bl;
}
//特殊符號替換成全形.
/*
單引號'
雙引號"
小於號<
大於號>
分號;
等號=
注釋符--