国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

  SQL注入是比較常見的網(wǎng)絡(luò)攻擊方式之一，它不是利用操作系統(tǒng)的BUG來實(shí)現(xiàn)攻擊，而是針對(duì)程序員編程時(shí)的疏

忽，通過SQL語(yǔ)句，實(shí)現(xiàn)無賬號(hào)登錄，甚至篡改數(shù)據(jù)庫(kù)。

filter功能.它使用戶可以改變一個(gè) request和修改一個(gè)response. Filter 不是一個(gè)servlet,它不能產(chǎn)生一個(gè)response,它能夠

在一個(gè)request到達(dá)servlet之前預(yù)處理request,也可以在離開 servlet時(shí)處理response.換種說法,filter其實(shí)是一個(gè)”servlet

chaining”(servlet 鏈). 所以用戶發(fā)出的任何request都必然經(jīng)過filter處理，我們就在filter處理用戶request包含的敏感關(guān)

鍵字，然后replace掉或是讓頁(yè)面轉(zhuǎn)到錯(cuò)誤頁(yè)來提示用戶，這樣就可以很好的防sql注入了。

具體代碼：

SqlFilter.java

[java] view plaincopy

1. package com.xyl.filter;  
2.   
3. import java.io.IOException;  
4. import java.util.Enumeration;  
5. import javax.servlet.Filter;  
6. import javax.servlet.FilterChain;  
7. import javax.servlet.FilterConfig;  
8. import javax.servlet.ServletException;  
9. import javax.servlet.ServletRequest;  
10. import javax.servlet.ServletResponse;  
11. import javax.servlet.http.HttpServletRequest;  
12. import javax.servlet.http.HttpServletResponse;  
13.   
14. /** 
15. * 過濾sql關(guān)鍵字的Filter 
16. * @author 
17.  
18. */  
19. public class SqlFilter implements Filter {  
20.   
21.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {  
22.   
23.         HttpServletRequest req = (HttpServletRequest) request;  
24.         HttpServletResponse res = (HttpServletResponse) response;  
25.         //獲得所有請(qǐng)求參數(shù)名  
26.         Enumeration params = req.getParameterNames();  
27.   
28.         String sql = "";  
29.         while (params.hasMoreElements()) {  
30.             //得到參數(shù)名  
31.             String name = params.nextElement().toString();  
32.             //System.out.println("name===========================" + name + "--");  
33.             //得到參數(shù)對(duì)應(yīng)值  
34.             String[] value = req.getParameterValues(name);  
35.             for (int i = 0; i < value.length; i++) {  
36.                 sql = sql + value[i];  
37.             }  
38.         }  
39.         //System.out.println("============================SQL"+sql);  
40.         //有sql關(guān)鍵字，跳轉(zhuǎn)到error.html  
41.         if (sqlValidate(sql)) {  
42.             res.sendRedirect("error.html");  
43.             //String ip = req.getRemoteAddr();  
44.         } else {  
45.             chain.doFilter(req, res);  
46.         }  
47.     }  
48.   
49.     //效驗(yàn)  
50.     protected static boolean sqlValidate(String str) {  
51.         str = str.toLowerCase();//統(tǒng)一轉(zhuǎn)為小寫  
52.         String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like";  
53.         String badStr = "'|and|exec|execute|insert|create|drop|table|from|grant|use|group_concat|column_name|" +  
54.                 "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +  
55.                 "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//過濾掉的sql關(guān)鍵字，可以手動(dòng)添加  
56.         String[] badStrs = badStr.split("|");  
57.         for (int i = 0; i < badStrs.length; i++) {  
58.             if (str.indexOf(badStrs[i]) !=-1) {  
59.                 return true;  
60.             }  
61.         }  
62.         return false;  
63.     }  
64.   
65.     public void init(FilterConfig filterConfig) throws ServletException {  
66.         //throw new UnsupportedOperationException("Not supported yet.");  
67.     }  
68.   
69.     public void destroy() {  
70.         //throw new UnsupportedOperationException("Not supported yet.");  
71.     }  
72. }  

[html] view plaincopy

1. <!-- sql Filter -->  
2.      <filter>  
3.         <filter-name>SqlFilter</filter-name>  
4.         <filter-class>com.xyl.filter.SqlFilter</filter-class>  
5.     </filter>  
6.     <filter-mapping>  
7.         <filter-name>SqlFilter</filter-name>  
8.         <url-pattern>/*</url-pattern>  
9.     </filter-mapping>