67,550
社区成员
发帖
与我相关
我的任务
分享
...全文
请发表友善的回复…
发表回复
陈阿曼_ 2018-06-20
- 打赏
- 举报
//遇到同样的问题,通过java web filter 过滤特定字符解决此问题,同时也过滤掉SQL注入,XSS 相关的特定敏感字符
陈阿曼_ 2018-06-20
- 打赏
- 举报
//遇到同样的问题,通过java web filter 过滤特定字符解决此问题,同时也过滤掉SQL注入,XSS 相关的特定敏感字符
// 获取请求所有参数,校验防止SQL注入,防止XSS漏洞
Enumeration<?> params = req.getParameterNames();
String paramN = null;
while (params.hasMoreElements()) {
paramN = (String) params.nextElement();
paramN = new String(URLDecoder.decode(paramN,"iso8859-1").getBytes("iso8859-1"),"gbk");
//此处应对Unicode转码问题,测试环境未发现此问题,防止正式环境出现此问题
if(isSpecialChar(paramN) || isChineseByBlock(paramN)){
errorResponse(response, paramN);
return;
}
String paramVale = req.getParameter(paramN);
if (!paramN.toLowerCase().contains("password")) {
logger.info(paramN + "==" + paramVale);
}
if (isNoticeUrl) {
paramVale = xssEncode(paramVale);
}
// 校验是否存在SQL注入信息
if (checkSQLInject(paramVale, url)) {
errorResponse(response, paramN);
return;
}
}
// arg2.doFilter(req, response);
arg2.doFilter(arg0, arg1);
// 获取请求所有参数,校验防止SQL注入,防止XSS漏洞
Enumeration<?> params = req.getParameterNames();
String paramN = null;
while (params.hasMoreElements()) {
paramN = (String) params.nextElement();
paramN = new String(URLDecoder.decode(paramN,"iso8859-1").getBytes("iso8859-1"),"gbk");
//此处应对Unicode转码问题,测试环境未发现此问题,防止正式环境出现此问题
if(isSpecialChar(paramN) || isChineseByBlock(paramN)){
errorResponse(response, paramN);
return;
}
String paramVale = req.getParameter(paramN);
if (!paramN.toLowerCase().contains("password")) {
logger.info(paramN + "==" + paramVale);
}
if (isNoticeUrl) {
paramVale = xssEncode(paramVale);
}
// 校验是否存在SQL注入信息
if (checkSQLInject(paramVale, url)) {
errorResponse(response, paramN);
return;
}
}
// arg2.doFilter(req, response);
arg2.doFilter(arg0, arg1);
陈阿曼_ 2018-06-20
- 打赏
- 举报
//遇到同样的问题,通过java web filter 过滤特定字符解决此问题,同时也过滤掉SQL注入,XSS 相关的特定敏感字符
// 获取请求所有参数,校验防止SQL注入,防止XSS漏洞
Enumeration<?> params = req.getParameterNames();
String paramN = null;
while (params.hasMoreElements()) {
paramN = (String) params.nextElement();
paramN = new String(URLDecoder.decode(paramN,"iso8859-1").getBytes("iso8859-1"),"gbk");
//此处应对Unicode转码问题,测试环境未发现此问题,防止正式环境出现此问题
if(isSpecialChar(paramN) || isChineseByBlock(paramN)){
errorResponse(response, paramN);
return;
}
String paramVale = req.getParameter(paramN);
if (!paramN.toLowerCase().contains("password")) {
logger.info(paramN + "==" + paramVale);
}
if (isNoticeUrl) {
paramVale = xssEncode(paramVale);
}
// 校验是否存在SQL注入信息
if (checkSQLInject(paramVale, url)) {
errorResponse(response, paramN);
return;
}
}
// arg2.doFilter(req, response);
arg2.doFilter(arg0, arg1);
// 获取请求所有参数,校验防止SQL注入,防止XSS漏洞
Enumeration<?> params = req.getParameterNames();
String paramN = null;
while (params.hasMoreElements()) {
paramN = (String) params.nextElement();
paramN = new String(URLDecoder.decode(paramN,"iso8859-1").getBytes("iso8859-1"),"gbk");
//此处应对Unicode转码问题,测试环境未发现此问题,防止正式环境出现此问题
if(isSpecialChar(paramN) || isChineseByBlock(paramN)){
errorResponse(response, paramN);
return;
}
String paramVale = req.getParameter(paramN);
if (!paramN.toLowerCase().contains("password")) {
logger.info(paramN + "==" + paramVale);
}
if (isNoticeUrl) {
paramVale = xssEncode(paramVale);
}
// 校验是否存在SQL注入信息
if (checkSQLInject(paramVale, url)) {
errorResponse(response, paramN);
return;
}
}
// arg2.doFilter(req, response);
arg2.doFilter(arg0, arg1);
yY930610 2017-11-30
- 打赏
- 举报
是发现 不是现实 打错字 
