【项目问题解决】% sql注入问题

目录

【项目问题解决】% sql注入问题


文章所属专区 项目问题解决


1.问题描述

在处理接口入参的一些sql注入问题,虽然通过MyBatis框架的一些特点处理了大部分sql注入问题,但还有一些是没法处理,比如这种 param LIKE CONCAT(CONCAT('%','%'),'%') 这种情况,%无法预编译或者转义成%导致去数据库查询了全表。

2.问题原因

MyBatis转义失败;

前端没有现值特殊字符;

后端没有过滤特殊字符;

3.解决思路

1.前端限制禁止传入特殊字符

2.后端限制禁止传入特殊字符,例如swagger限制字符传入,但似乎只在POST请求有效

3.后端拦截特殊字符

4.解决方案

1.前端限制传入特殊字符

2.后端拦截特殊字符-正则表达式

java 复制代码
  public static void main(String[] args) {
        String text = "Hello%World";
        boolean hasSpecialChar = text.matches(".*[%].*");
        if (hasSpecialChar) {
            System.out.println("字符串中包含特殊字符%");
        } else {
            System.out.println("字符串中不包含特殊字符%");
        }
    }

.*表示匹配0个或多个字符

%表示匹配字符 %

3.后端拦截特殊字符-拦截器

java 复制代码
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;

@WebFilter("/*")
public class SpecialCharacterFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 初始化操作
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        // 获取请求参数
        String parameter = servletRequest.getParameter("param");
        
        // 检查参数中是否带有特殊字符 %
        if (parameter != null && parameter.contains("%")) {
            // 拦截请求
            servletResponse.getWriter().write("请求参数中含有特殊字符 %");
            return;
        }

        // 继续处理请求
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {
        // 销毁操作
    }
}

5.总结

6.参考

给个三连吧 谢谢谢谢谢谢了

相关推荐
Full Stack Developme1 分钟前
正则表达式设计及工作原理
数据库·mysql·正则表达式
feifeigo1233 分钟前
matlab电力系统重构实现
开发语言·matlab·重构
小c君tt7 分钟前
QT笔记记录
开发语言·笔记·qt
布朗克16811 分钟前
Go 入门到精通-08-复合类型之数组与切片
开发语言·后端·golang·数组与切片
.Hypocritical.14 分钟前
数据结构笔记——链表成环/反转 + 有序二叉树(BST)构建、遍历、删除
java·数据结构
云飞云共享云桌面18 分钟前
搭建10人SolidWorks云设计环境:云飞云在非标自动化工厂的实测方案
运维·服务器·网络·数据库·自动化·电脑
A-刘晨阳21 分钟前
关键基础设施安全底座:自主可控时序大模型TimechoAI的国产化实践与深度时序分析能力
大数据·数据库·安全·时序数据库
深盾科技_Virbox23 分钟前
Virbox Protector 从何而来:深盾科技的软件保护演进
运维·数据库·科技
只会写代码25 分钟前
一套开箱即用实体反射Lambda链式工具,彻底告别原生反射样板代码
java·程序员·源码
AI人工智能+电脑小能手25 分钟前
【大白话说Java面试题 第151题】【06_Spring篇】第11题:说一下 Spring Bean 的生命周期?
java·开发语言·后端·spring·面试