A. jsp sql注入,和xss 问题。
sql注入的话就用sqlmap 、穿山甲、胡萝卜 xss没工具 需要你自己根据经验利用(比如反射型持久型的不同利用方法)。
sql注入和xss解决方法 一般用正则表达式过滤传入的参数,过滤字符串,检查函数语句。 实在不会的话就用 waf
B. JSP SQL注入攻击
防止SQL注入攻击 永远都是
防君子不防小人~~~
没人敢说自己写的程序没有漏洞
我们只能尽自己努力去防范~~
防范方法,我知道的也是这两种~~~
期待其他方法~
C. 在JSP中如何利用过滤器实现从SQL表中登录
jsp中实现过滤器登录的方法是配置filter:
在servlet中实现代码如下:
HttpSession
session
=
request.getSession(false);
User
user
=
(session
!=
null)
?
session.getAttribute("user")
:
null;
if
(user
!=
null)
{
chain.doFilter(request,
response);
}
else
{
response.sendRedirect(request.getContextPath()
+
"/login");
}
jsp页面提交后到验证servlet:
String
username
=
request.getParameter("username");
String
password
=
request.getParameter("password");
Map<String,
String>
messages
=
new
HashMap<String,
String>();
if
(username
==
null
||
username.isEmpty())
{
messages.put("username",
"Please
enter
username");
}
if
(password
==
null
||
password.isEmpty())
{
messages.put("password",
"Please
enter
password");
}
if
(messages.isEmpty())
{
User
user
=
userService.find(username,
password);
if
(user
!=
null)
{
request.getSession().setAttribute("user",
user);
response.sendRedirect(request.getContextPath()
+
"/home");
return;
}
else
{
messages.put("login",
"Unknown
login,
please
try
again");
}
}
request.setAttribute("messages",
messages);
request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request,
response);
D. 关于jsp的SQL注入问题
个人观点:sql注入无非是拼凑sql语句。
比如你的验证查询操作:
select * from 表 where user='admin' and pass='admin';
注入很可能是再拼凑你的这条语句:(注意我没写用户名和密码)
select * from 表 where user='' and pass=''or 1='1'
这样我就不需要知道密码了。直接就进入。
这好像是注入的最简单的吧。学习中。。。。。。。
编程无止境
E. jsp 防sql注入
|关1.PreparedStatement
简单实用
2.replaceAll(".*([';]+|(--)+).*", " "); 简单替换
3.regx
4.str="关键字|关键字。。。。。"
String [] a=split("|")
indexOf(a[i])
大概就这么几种了,中心就是专过滤特殊字符,和属常用sql关键字
F. Java-JSP网站 防SQL注入,防XSS等攻击有什么好的处理办法
过滤特殊字段,导入验证包
G. JSP网站 防SQL注入,防XSS等攻击有什么好的处理办法
,防XSS等攻击的话,首先要选择PreparedStatement来处理sql语句!同时java后台还需要对页面中接受到的参数进行字符替换!
H. jsp怎样写防sql注入。就是注册的时候不能输入<input type="">这样的东西
public static String asHTML(String text) { if (text == null) return ""; StringBuffer results = null; char[] orig = null; int beg = 0, len = text.length(); for (int i = 0; i < len; ++i) { char c = text.charAt(i); switch (c) { case 0: case '&': case '<': case '>': case '"': if (results == null) { orig = text.toCharArray(); results = new StringBuffer(len + 10); } if (i > beg) results.append(orig, beg, i - beg); beg = i + 1; switch (c) { default: // case 0: continue; case '&': results.append("&"); break; case '<': results.append(">"); break; case '>': results.append("<"); break; case '"': results.append("\""); break; } break; } } if (results == null) return text; results.append(orig, beg, len - beg); return results.toString(); } 将特殊的符号都替换掉就可以了也可以判断有特殊符号就不让提交
I. j2ee怎么防止sql注入
开发web的过程中,需要防范sql注入,或是javascript代码注入,以下通过过滤器(filter)实现的,只实现了tomcat和weblogic下,其它应用服务器可以参照实现即可。
非常简单只需三个步骤:
第一步,在你的工程加入如下所示的过滤器代码,一共两个类:
CharFilter.java
[java] view plain
package com.hyjx.filter;
import java.io.IOException;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
import java.util.Map.Entry;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.RequestDispatcher;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.log4j.Logger;
/**
* @author jfish
* @since 2006.1.12
*/
public class CharFilter implements Filter {
public FilterConfig config;
public void setFilterConfig(FilterConfig config) {
this.config = config;
}
public FilterConfig getFilterConfig() {
return config;
}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse res = (HttpServletResponse) response;
boolean filter = true;// 是否过滤;
String excludeURL;// 不过滤的url地址
excludeURL = config.getInitParameter("excludeURL");
if (excludeURL == null || "".equals(excludeURL)) {
filter = true;
} else {
String url = req.getRequestURI();// url地址
String[] excludeURLA = excludeURL.split(",");
for (int i = 0; i < excludeURLA.length; i++) {
if (url.indexOf(excludeURLA[i]) > 0) {// 如果含有不让过滤的url地址则不过滤。
filter = false;
}
}
}
//得到应用服务器类型
String appServer = config.getInitParameter("appServer");
if(filter)//需要过滤
{
if("tomcat".equals(appServer))//应用服务器为tomcat时则:
{
if(checkTomcat(req,res))
{
String webapp = req.getContextPath();
res.sendRedirect(webapp + "/charError/charError.html");
}
else
{
chain.doFilter(request, response);
}
}
else//应用服务器为weblogic时则:
{
Map m = req.getParameterMap();
if(req instanceof ParameterRequestWrapper) {
m = ((ParameterRequestWrapper)req).getSuperRequest().getParameterMap();
req = ((ParameterRequestWrapper)req).getSuperRequest();
}
//System.out.println(((String[])m.get("op"))[0] + "-----------" + req.getParameter("op"));
ParameterRequestWrapper wrapRequest=new ParameterRequestWrapper(req, m);
if(checkWeblogic(wrapRequest, res))
{
String webapp = req.getContextPath();
res.sendRedirect(webapp + "/charError/charError.html");
}
else
{
chain.doFilter(wrapRequest, response);
}
}
}
else//不需要过滤
{
chain.doFilter(request, response);
}
}
public boolean checkWeblogic(HttpServletRequest req, HttpServletResponse response) {
Map map = req.getParameterMap();
Set set = map.entrySet();
//request中的参数设置
boolean bl = false;
if (map != null) {
for (Iterator it = set.iterator(); it.hasNext();) {
Map.Entry entry = (Entry) it.next();
if (entry.getValue() instanceof String[]) {
String[] values = (String[]) entry.getValue();
for (int i = 0; i < values.length; i++) {
//替换成全角字符。
values[i] = getQjString(values[i]);
//是否包含有特殊字符
if (getCheckString(values[i])) {
return true;
}
}
}
}
}
//cookie过滤:除了JSESSIONID以外的cookie进行过滤
Cookie[] cookies = req.getCookies();
String cookieName = "";
String cookieValue="";
if(cookies!=null)
{
for (int i = 0; i < cookies.length; i++)
{
Cookie c = cookies[i];
cookieName = c.getName();
//System.out.println("=======cookie:"+cookieName);
if(cookieName!= null && !"JSESSIONID".equals(cookieName.toUpperCase()))
{
cookieValue = c.getValue();
if (getCheckString(cookieValue)) {
return true;
}
//进行特殊字符替换
cookieValue = getQjString(cookieValue);
c.setValue(cookieValue);
response.addCookie(c) ;
}
}
}
return bl;
}
public boolean checkTomcat(HttpServletRequest req, HttpServletResponse response) {
Map map = req.getParameterMap();
//运用反射机制,让其可修改。
try
{
Method method=map.getClass().getMethod("setLocked",new Class[]{boolean.class});
method.invoke(map,new Object[]{new Boolean(false)});
}
catch(Exception e)
{
e.printStackTrace();
}
Set set = map.entrySet();
boolean bl = false;
if (map != null) {
for (Iterator it = set.iterator(); it.hasNext();) {
Map.Entry entry = (Entry) it.next();
if (entry.getValue() instanceof String[]) {
String[] values = (String[]) entry.getValue();
for (int i = 0; i < values.length; i++) {
//替换成全角字符。
values[i] = getQjString(values[i]);
//是否包含有特殊字符
if (getCheckString(values[i])) {
return true;
}
}
}
}
}
//cookie过滤:除了JSESSIONID以外的cookie进行过滤
Cookie[] cookies = req.getCookies();
String cookieName = "";
String cookieValue="";
if(cookies!=null)
{
for (int i = 0; i < cookies.length; i++)
{
Cookie c = cookies[i];
cookieName = c.getName();
//System.out.println("=======cookie:"+cookieName);
if(!"JSESSIONID".equals(cookieName))
{
cookieValue = c.getValue();
if (getCheckString(cookieValue)) {
return true;
}
//进行特殊字符替换
cookieValue = getQjString(cookieValue);
c.setValue(cookieValue);
response.addCookie(c) ;
}
}
}
return bl;
}
//特殊符号替换成全角.
/*
单引号'
双引号"
小于号<
大于号>
分号;
等号=
注释符--