javaEE安全开发 && SQL预编译 && Filter过滤器 && Listener 监听器 && 访问控制

前言

java开发和其他开发的不同并且更安全就是因为他拥有简单的预编译机制 filter 过滤器 和 listener 监听器

这个很重要 就是 web应用监听器和过滤器是在 Servlet 之前的并且 我们的请求和响应都需要经过 两者的同意才可以通过 缺一不可 、

Listener

安全方面 监听器的主要作用就是 内存马的使用(内存马和普通的木马的根本区别就是 难杀 他是在内存的程序 而不是一个单一的文件 可以理解为普通的木马就是 一个文件 而内存马就是可以一直生成文件的一个程序 )

这个的路由问题是 过滤器都有特定的路由地址 但是监听器没有 监听器类似于 js事件有事件就会触发

Filter

过滤器是非常重要的一个功能 他就相当于安全狗 会指定一些过滤

Filter的部署

为了方便先创建 两个文件应用程序

没装备 过滤器时

package servlet;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

import static java.lang.System.out;

public class XianShi extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
//        super.doGet(req, resp);
        String code =req.getParameter("code");
        //传统的fileter 写法 :
        if(code==null){
            out.println("请输入正确的值");
        }
        // 过滤器的创建
        req.setCharacterEncoding("utf-8");
        resp.setContentType("text/html");
        PrintWriter out = resp.getWriter();
        out.println("code"+code);
        out.flush();
        out.close();
    }
}

web入口配置路由或者是直接 在当前页面上写入 @Webservlet("/xxxx") 进行配置路由

访问code并输入Xss参数 就会出现 弹窗

那就可以使用filter进行阻断 (过滤器其实就是放行器只有 我们的输入是满足条件的才会进行放行)

新建一个Xss文件

创建类时使用

复制代码
implements Filter

进行调用接口 然后 使用接口的三个类

因为Fileter的进行是在Servlet之前的

配置路由

@WebFilter("/code")

这个是和 servlet是一致的 可千万别写为 WebServlet 这样就会造成服务的冲突

另外路由

在web.xml 中配置
    <filter>
        <filter-name>Xss</filter-name>
        <filter-class>filter.Xss</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>Xss</filter-name>
        <url-pattern>/code</url-pattern>
    </filter-mapping>

有Filter之后

package filter;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
@WebFilter("/code")
public class Xss implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
//        Filter.super.init(filterConfig);
    System.out.println("Xss init");
    }


    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest qingqiu = (HttpServletRequest) servletRequest;   //先接受get的值
        String code = qingqiu.getParameter("code");   //获取参数
        if (!code.contains("<>")) {  // 判断内容
            filterChain.doFilter(servletRequest, servletResponse);  //把请求和响应放出
        }else {
            System.out.println("Xss code");
        }


    }

    @Override
    public void destroy() {
//        Filter.super.destroy();

    System.out.println("Xss destroy");}
}

运行一下是不会触发的

简单Filter的内存马

filter内存马杀不死的原因就是因为他不是severlet层的 而是上一层的

哥斯拉生成一个木马

注意这个webapp才是应用程序

直接访问 哥斯拉连接

使用filter 可以进行删除过滤

监听器的部署

主要的用途就是记录访问的客流量等记录的功能

应用程序
package Linsten;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@WebServlet("/cs")
public class Cs extends HttpServlet {
    @Override
    public void init() throws ServletException {
        System.out.println("init");
    }

    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
//        System.out.println("doGet");
        System.out.println("Servlet里面创建Session");
        //创建Session
        req.getSession();
        //使用linsten 当

    }
}

监听器

package Linsten;

import javax.servlet.http.HttpSessionEvent;
import javax.servlet.http.HttpSessionListener;

public class CL implements HttpSessionListener {
    public void sessionCreated(HttpSessionEvent se) {
        System.out.println("Session created");
    }
}

SQl语句的预编译的调用

JDBC篇

先在 news 这个表里 加数据 2,3 条

不使用预编译使用拼接模式

import javax.servlet.http.HttpServlet;
import java.sql.*;
import java.util.Scanner;

public class Select extends HttpServlet {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        Scanner id1 = new Scanner(System.in);
        System.out.println("请输入你要查询的id");
        String name = id1.nextLine();
        System.out.println(name);
        //注册  驱动
        Class.forName("com.mysql.jdbc.Driver");

        //  建立数据库连接
        String url = "jdbc:mysql://localhost:3306/demo01";

        Connection con = DriverManager.getConnection(url,"root","123456");

        String sql = "select * from news where id="+name;  // 拼接式的语句
        // 创建statement
        Statement huihua = con.createStatement();
        ResultSet jieguo=huihua.executeQuery(sql);
        // 结果的遍历

        //
        while(jieguo.next()){
            String id=jieguo.getString("id");
            System.out.println(id);
            String title=jieguo.getString("page_title");
            System.out.println(title);
            String author=jieguo.getString("heading");
            System.out.println(author);
            String content=jieguo.getString("content");
            System.out.println(content);
        }


    }
}

可以被随意的sql注入

使用预编译

只需把我们的statement会话改为 preparedstatement 会话就行 执行预编译

//使用预编译写法
       String sql1="select * from news where id=?";
       PreparedStatement preparedStatement=lianejie.prepareStatement();
       preparedStatement.setString(1,s);
       ResultSet jieguo=preparedStatement.executeQuery();

预编译的原理就是使用固定的逻辑 ? 来防止多余的字段的注入或者其他逻辑的干扰

相关推荐
多敲代码防脱发7 小时前
Java程序运行剖析(JVM+JDK+JRE)(总结+超详解)
java·开发语言·网络·jvm·java-ee
yang_shengy13 小时前
【JavaEE】Spring(1)
java·后端·spring·java-ee
爱掉发的小李17 小时前
JavaWeb简单开发
java·spring·spring cloud·java-ee·tomcat·maven
火烧屁屁啦20 小时前
【JavaEE进阶】SpringMVC 响应
java·开发语言·java-ee
所待.38321 小时前
JavaEE之CAS
java·java-ee
赔罪1 天前
Java 数组排序
java·算法·java-ee·排序算法·数组排序
我命由我123451 天前
Android 项目依赖冲突问题:Duplicate class found in modules
android·xml·java·java-ee·android studio·android jetpack·android-studio
我命由我123452 天前
11-3.Android 项目结构 - 认识 .idea 目录
android·xml·java·java-ee·gitee·android jetpack·android runtime
m0_748248652 天前
【JavaEE】Spring Web MVC
前端·spring·java-ee