【问题标题】:java Security filter for Struts ApplicationStruts 应用程序的 java 安全过滤器
【发布时间】:2018-06-19 06:19:31
【问题描述】:

需要您的帮助,为 java 应用程序编写一个安全过滤器,以保护对 sql 注入和 javascript 注入的攻击。

任何带有示例的代码都可以。 感谢您在这方面的任何帮助。 应用程序在 JDK 1.7 和 Struts 1.0 上运行。

问候

【问题讨论】:

    标签: java struts servlet-filters


    【解决方案1】:

    您的过滤器可以查看参数和属性中的值。

    我认为要设置参数,您可能需要跳过一些环节(例如,为参数提供一个包装类,否则它是只读的??)

    因此我们的想法是检查输入以确保它们没有执行任何 SQL-y 或 javascript-y 操作。


    另一种方法(关于 SQL 注入)是始终使用过程并让它们看起来像这样:

    // 很伪的代码

    • sql = "SELECT * FROM t_Blargh WHERE icky_ptang = ?"
    • 过程 p = connection.getTheThingy(sql)
    • p.setParameter(1, the value you got from the user)
    • 结果集 rs = p.execute()

    与插入和更新相同(如果您这样做,则删除)


    因此,要查找和阻止的单词/短语可以是 DROP TABLE、SELECT INSERT UPDATE DELETE CREATE javascript 脚本等。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2013-11-06
      • 2016-12-04
      • 1970-01-01
      • 1970-01-01
      • 2011-01-07
      • 1970-01-01
      • 1970-01-01
      • 2022-07-29
      相关资源
      最近更新 更多