StringEscapeUtils的常用使用，防止SQL注入及XSS注入

StringEscapeUtils类可以对html js xml sql 等代码进行转义来防止SQL注入及XSS注入

添加依赖

<dependency>
    <groupId>commons-lang</groupId>
    <artifactId>commons-lang</artifactId>
    <version>2.6</version>
</dependency>

1.html脚本

　　escapeHtml转义html脚本

　　unescapeHtml反转义html脚本

System.out.println(StringEscapeUtils.escapeHtml("<a>abc</a>"));
System.out.println(StringEscapeUtils.unescapeHtml("&lt;a&gt;abc&lt;/a&gt;"));

输出

2.js脚本

　　escapeJavaScript转义js脚本

　　unescapeJavaScript反转义js脚本

System.out.println(StringEscapeUtils.escapeJavaScript("<script>alert(‘123‘)<script>"));
System.out.println(StringEscapeUtils.unescapeJavaScript("<script>alert(\‘123\‘)<script>"));

输出

3.字符串Unicode　

　　escapeJava转义成Unicode编码

　　unescapeJava反转义成Unicode编码

System.out.println(StringEscapeUtils.escapeJava("你好"));
System.out.println(StringEscapeUtils.unescapeJava("\u4F60\u597D"));

输出

\u4F60\u597D
你好

4.xml

　　escapeXML转义XML

　　unescapeXML反转义XML

System.out.println(StringEscapeUtils.escapeXml("<name>贝贝</name>"));
System.out.println(StringEscapeUtils.unescapeXml("&lt;name&gt;贝贝&lt;/name&gt;"));

输出

5.sql

　　escapeSql sql转义，防止sql注入攻击

转义后

StringBuffer sql = new StringBuffer("select * from users where 1=1 ");
String keyWord="aaa‘ or ‘1=1";
if(!keyWord.isEmpty()){
      sql.append(" and username like ‘%" + StringEscapeUtils.escapeSql(keyWord) + "‘");
}
System.out.println(sql);

输出

select * from users where 1=1 and username like ‘%aaa‘‘ or ‘‘1=1‘

StringEscapeUtils.escapeSql会将1个‘转成2个‘，附源码：

不进行转义的，会查出全部用户

select * from users where 1=1 and username like ‘%aaa‘ or ‘1=1‘

原文地址：https://www.cnblogs.com/651434092qq/p/12427323.html

时间： 2024-08-05 08:28:09

StringEscapeUtils的常用使用，防止SQL注入及XSS注入的相关文章

防止SQL注入和XSS注入的方法总结

1.在OpenResty中添加naxsi加强防御 https://github.com/nbs-system/naxsi 安装方法 https://www.cnblogs.com/kgdxpr/p/9841456.html 2.防止SQl注入的思路和方法 1.永远不要信任用户的输入.对用户的输入进行校验,可以通过正则表达式,或限制长度:对单引号和双"-"进行转换等. 2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取. 3.永远不要使用管理员权

基础篇——SQL注入（手工注入）

SQL注入当我们学习一个知识时我们要考虑几个问题:是什么?怎么做?然后进行有条理的学习是什么? 首先我们要明白SQL注入是什么: sql——结构化查询语言 SQL注入就是在网站url中插入sql语句,执行sql命令,获取数据库内容,达到欺骗服务器的目的. SQL注入的原理:普通用户提交sql查询语句,网站没有对用户输入进行过滤导致执行用户命令危害及防护危害:SQL注入可以使入侵者获取后台账号密码.拖库.进入后台破坏.拿shell 防护:设置网站黑名单.限制敏感词汇.对用户输入进行转义.将

WAF——针对Web应用发起的攻击，包括但不限于以下攻击类型：SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等

核心概念 WAF Web应用防火墙(Web Application Firewall),简称WAF. Web攻击针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入.XSS跨站.Webshell上传.命令注入.非法HTTP协议请求.非授权文件访问等.

SQL 注入、XSS 攻击、CSRF 攻击

SQL 注入.XSS 攻击.CSRF 攻击 SQL 注入什么是 SQL 注入 SQL 注入,顾名思义就是通过注入 SQL 命令来进行攻击,更确切地说攻击者把 SQL 命令插入到 web 表单或请求参数的查询字符串里面提交给服务器,从而让服务器执行编写的恶意的 SQL 命令. 对于 web 开发者来说,SQL 注入已然是非常熟悉的,而且 SQL 注入已经生存了 10 多年,目前已经有很成熟的防范方法,所以目前的 web 应用都很少会存在漏洞允许进行 SQL 注入攻击. 除非是入门开发人员,在开发

SQL注入与xss

1. 什么是SQL注入所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.通过递交参数构造巧妙的SQL语句,从而成功获取想要的数据. 2. SQL注入的种类从具体而言,SQL注入可分为五大类,分别是:数字型注入.字符型注入.搜索型注入(like).in型的注入.句语连接型注入. 从应用来说,要特别注意IP.搜索.批量删除.从数据库转到数据库等地方的SQL注入. 3. 如何防止SQL注入 3.1 SQL注入产生的原因

SQL注入原理手工注入access数据库

SQL注入原理手工注入access数据库 SQL注入是通过将SQL命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL指令的目的. 1.判断网站是否有注入点. 在以asp?id=xx(任意数字)结尾的连接依次添加: ' 1=1 1=2 若以上结果显示"数据库出错","正常显示","数据库出错"则该网站存在注入点. 2.猜解表名在链接末尾添加语句: and exists(select * from admi

防止sql注入。xss攻击方法

//防止sql注入.xss攻击 /** * 过滤参数 * @param string $str 接受的参数 * @return string */ public function actionFilterWords($str) { $farr = array( "/<(\\)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^

防止SQL注入和XSS攻击Filter

nbsp;今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞,下面的filter主要是解决防止SQL注入和XSS攻击一个是Filter负责将请求的request包装一下. 一个是request包装器,负责过滤掉非法的字符. 将这个过滤器配置上以后,世界总算清净多了.. 代码如下: import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.serv

SQL注入和XSS bypass waf 测试向量

1. 识别脆弱点 http://www.site.com.tr/uyg.asp?id=123'+union+selec+1,2,3-- http://www.site.com.tr/uyg.asp?id=123' http://www.site.com.tr/uyg.asp?id=123<12("/> 2. HTTP参数污染(HPP) http://www.site.com.tr/uyg.asp?id=123&id=456 http://www.site.com.tr/uyg