【Javaweb】后台的字符串转义,入库之前记得先对字符串转义防止sql注入问题
在《【JavaScript】某些字符不转义可以导致网页崩溃与涉及转义字符的显示方法》(点击打开链接)提及到一种表单之前,必须把表单的输入框的内容转义的方法,但是,其实这种字符串的转义更加应该放在后台中进行。这样同时能够有效地防止sql注入的问题。
所谓的sql注入是什么呢?比如,你做了一个登录功能什么的。你必须把根据用户输入的用户名,查询存放在数据库的密码的,然后与密码比对是不是?
select语句一般这样写select username,password from userinfo表 where username=传过来的参数。
好了,如果这时候用户在自己的登录名输入a;drop database;,或者a or 1=1;则能把你的数据删除,或者任何情况都可能登录之类的,再或者能够导致你的tomcat被异常信息弄到崩溃。
同时,如果你不转义,就入库,就算用户是一个善意输入,也能够导致你的网页崩毁。
比如用户只是在交流输入框的写法,输入的内容有 <input type="text" /> 之类的,你再于数据库查询出来,则会导致你该显示<input type="text" />这个部分,变成了一个输入框。这还是小事。如果某些别有用心的用户,构造一个<form action="xx" />的表单,足以造成跨站攻击。
因此,我们对于一些不应该存在的数据,必须进行转义显示。
这里,《【JavaScript】某些字符不转义可以导致网页崩溃与涉及转义字符的显示方法》(点击打开链接)、与下面介绍的方法,用一种就可以了,否则多种字符转义的方法冲突,<转成& lt;又被你转成& amp; lt;那么用户看到的则是& lt; ,非常让人迷惑。同时注意《【jQuery】网页文本格式编辑器xheditor》(点击打开链接)这个编辑器,在提交表单就会自动帮你完成转义的。总之最后的意思就是,对于那些带编辑器的文本框,你Encode了多少次,就应该Decode多少次。对于那些单行文本框,我们只需要Encode,不对其进行Decode,因为我们推定其没有格式的!
注意:如下代码的&都用全角表示了,应该使用半角的,但是半角的&会被csdn吞了,可见csdn都已经对这些符号处理好才敢上来看网站的!
同时,还需要注意的是,某些符号在replaceAll方法的写法,毕竟replaceAll第一个参数是填正则表达式的,某些符号会对正则表达式产生冲突的。
public class EncodeDecodeUtil { /* * 所有文本框,都必须先经过htmlEncode再入库(防sql注入) * 所有显示,如果是单行文本框无须经过htmlDecode * 定义:单行文本框输入的内容都是没有格式的内容 推定:所有在单行文本框输入html标签的都是不良行为 * 带编辑器的多行文本框的内容应该经过htmlDecode,保持其固有格式 * 注意到script已经被强力转义不再decode还原,因此给你有格式又怎么样? */ public static String htmlEncode(String html) { if (html != null) { // 必要 return html .replaceAll("&", "&amp;") .replaceAll("<", "&lt;") .replaceAll(">", "&gt;") .replaceAll("\"", "&quot;") .replaceAll(" ", "&nbsp;") // 一些可能出现问题的半角符号,还是要转义的。 // ,+、*、|、\、?等符号在正则表达示中有相应的不同意义。要写成\\,\\+之类 .replaceAll("[+]", "+") .replaceAll("-", "-") // \最为特殊,对于正则表达式敏感也对于java字符串敏感,其在replace的写法为\\\ .replaceAll("\\\\", "\").replaceAll("/", "/") .replaceAll("[*]", "*") .replaceAll(":", ":") .replaceAll("[?]", "?") .replaceAll("[|]", "|") // 非必要,但是还是转义吧 .replaceAll("¢", "&cent;").replaceAll("£", "&pound;") .replaceAll("¥", "&yen;").replaceAll("§", "&sect;") .replaceAll("©", "&copy;").replaceAll("®", "&reg;") .replaceAll("×", "&times;").replaceAll("÷", "&divide;"); } else { //避免控制入库导致报错,如果遇到空值,先替换成一个空格 //主要是防止表单验证时,某些浏览器因为兼容性问题,取不到表单某些项的值 return " "; } } // 这里与htmlEncode成轴对称!正如汇编语言,变量的出栈入栈互成对子才能保护现场一样 // 写得我很蛋疼,手工把它反过来了 public static String htmlDecode(String html) { if (html != null) { return html.replaceAll("&divide;", "÷") .replaceAll("&times;", "×") .replaceAll("&reg;", "®") .replaceAll("&copy;", "©") .replaceAll("&sect;", "§") .replaceAll("&yen;", "¥") .replaceAll("&pound;", "£") .replaceAll("&cent;", "¢") // “非必要,但是还是转义吧”部分 .replaceAll("|", "|").replaceAll("?", "?") // 在replace中,在第一个位置要写成[*],在第二个位置就不用这样写 // 因为这里不是正则表达式 .replaceAll(":", ":").replaceAll("*", "*") .replaceAll("/", "/").replaceAll("\", "\\") .replaceAll("-", "-") .replaceAll("+", "+") // “一些可能出现问题的半角符号,还是要转义的。”部分 .replaceAll("&nbsp;", " ").replaceAll("&quot;", "\"") .replaceAll("&gt;", ">").replaceAll("&lt;", "<") .replaceAll("&amp;", "&"); .replaceAll("<script", "&lt;script") // “必要”部分 } else { return null; } } }
这时,再来回顾文章一开头那个问题,如果用户在输入框输入a;drop database;,或者a or 1=1;之类的,执行数据库查询之前,这段字符早变成a;drop& nbsp;database了。
根本就不会再什么sql注入问题了。而一些正常输入的英文、中文字符则完全没有问题。经过Encode与Decode还是原来的样子!
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。