2. 程式人生 > >SpringMVC以資料繫結方式做HTML、SQL防注入

SpringMVC以資料繫結方式做HTML、SQL防注入

阿新 發佈:2018-12-25 
首先先定義個一個類整合 PropertyEditorSupport 屬性編輯器
public class StringEscapeEditor extends PropertyEditorSupport {
  private boolean escapeHTML; //定義是否是HTML注入
  private boolean escapeSQL; //定義是否是SQL注入


  public StringEscapeEditor() {
    super();
  }

  public StringEscapeEditor(boolean escapeHTML, boolean escapeSQL) {
    super();
    this.escapeHTML = escapeHTML;
    this.escapeSQL = escapeSQL;
  }

  @Override
  public void setAsText(String text) {
    if (text == null) {
      setValue(null);
    } else {
      String value = text.trim();
      if (escapeHTML) {
        value = StringUtil.XMLEncNA(value);//freemarker工具類能使"<",">","&"等轉義
      }
      if (escapeSQL) {
        value = StringEscapeUtils.escapeSql(value);//commons-lang工具類
      }

      setValue(value);
    }
  }

  @Override
  public String getAsText() {
    Object value = getValue();
    return value != null ? value.toString() : "";
  }
}
 
寫一個 BaseController 
@Controller
public class BaseController {

  @InitBinder
  public void initBinder(WebDataBinder binder) {
    binder.registerCustomEditor(String.class, new StringEscapeEditor(true, true));
    binder.registerCustomEditor(String[].class, new StringEscapeEditor(true, true));
  }
}


@InitBinder在跟表單繫結之前都會先註冊這些編輯器
之後在某些想要防止HTML SQL注入類中extends BaseController就會自動把資料轉義以防止HTML注入。



相關推薦

SpringMVC資料方式HTMLSQL注入

首先先定義個一個類整合 PropertyEditorSupport 屬性編輯器public class StringEscapeEditor extends PropertyEditorSupport { private boolean escapeHTML; //定義

SpringMVC複雜資料——陣列實現批量刪除

前幾天學習SSM開發框架遇到了批量刪除的資料繫結問題,就從網上學習了一下,參考別人的部落格又加了點自己的見解寫了這篇部落格。 繫結陣列 在實際開發時,可能會遇到前端請求需要傳遞到後臺多個input的Name屬性相同的資料的情況(如批量刪除),這個情況用SpringMVC的Controller

vue06-三種資料方式

<!DOCTYPE html> <html lang=en> <head> <meta charset="utf-8"/>

SpringMvc資料流程

在SpringMvc中會將來自web頁面的請求和響應資料與controller中對應的處理方法的入參進行繫結,即資料繫結。流程如下:      -1.SpringMvc主框架將ServletRequest物件及目標方法的入參例項傳遞給WebDataBinderFacto

SpringMVC_第三章(SpringMVC資料

1. 什麼是引數繫結 引數繫結,簡單來說就是客戶端傳送請求,而請求中包含一些資料,那麼這些資料怎麼到達 Controller ?這在實際專案開發中也是用到的最多的,那麼 SpringMVC 的引數繫結是怎麼實現的呢?下面我們來詳細的講解。 在springMVC之前 首先在使用spring

ko資料,取不到彈出最外層html,jquery $("#id",body)逗號分隔的選擇器取到

專案用knockoutjs和requirejs進行資料繫結,做到一個refer彈出層時,在本地是好的,但是生產環境要巢狀到另一個系統的iframe裡,這樣彈出層談到他們iframe最外層,就獲取不到我們自己的html。無法進行資料繫結,所以cto採取了此種方法 var bo

第六章 註解式控制器詳解——SpringMVC強大的資料(2)

6.6.2、@RequestParam繫結單個請求引數值 @RequestParam用於將請求引數區資料對映到功能處理方法的引數上。 public String requestparam1(@RequestParam String username) 請求中包含username引數(如/

第六章 註解式控制器詳解—SpringMVC強大的資料(1)

     到目前為止,請求已經能交給我們的處理器進行處理了,接下來的事情是要進行收集資料啦,接下來我們看看我們能從請求中收集到哪些資料,如圖6-11:  圖6-11 1、@RequestParam繫結單個請求引數值; 2、@PathVariabl

SpringMVC型別轉換資料詳解[附帶原始碼分析]

目錄 前言 SpringMVC是目前主流的Web MVC框架之一。  public String method(Integer num, Date birth) { ... } Http請求傳遞的資料都是字串String型別的,上面這個方法在Contro

Angular6實現HTML自定義屬性的值以及CSS中background屬性的資料

今天用Angular6在整合網上一個程式碼的時候,他的程式碼的一個HTML標籤有幾個自定義標籤,然後我以為轉換到Angular後和不是自定義標籤一樣直接加[]就可以了,但是一直報錯。 這裡顯示沒有這個屬性  解決方案:去除[]並且加上attr.就可以了

Android(或者Java)通過HttpUrlConnection向SpringMVC請求資料資料

問題描述     當我們使用SpringMVC作為服務端的框架時,有時不僅僅要應對web前端(jsp、javascript、Jquery等)的訪問請求,有時還可能需要響應Android和JavaSE(桌面應用)這些客戶端的請求,因此,除了web使用form表單

WPF中關於資料的三種方式及注意細節

前言》 首先,簡單介紹一下,什麼是資料繫結?一種用宣告的方式將控制元件和資料繫結在一起的方式。 簡單來理解一下就是:控制元件的屬性由你繫結的資料來動態判斷的方式。 《核心前提部分》 一個繫結(Binding)關係由四個元件構成:     1

springmvc 路徑對映規則資料

一、路徑對映 1. 一個action配置多個URL對映 @RequestMapping(value={“/index”, “/hello”}, method = {RequestMethod.GET}) 2. URL請求引數對映 @RequestMapping(value

springMVC中複雜巢狀物件List等集合型別資料

[一]、概述 繼前面一篇 springMVC 頁面中多個物件的資料繫結 ,本文主要介紹如果實現複雜型別物件的資料繫結,比如前文中的父級物件CourseInfo 中增加:String[] times , List<Student> studentList 這兩個複雜型別屬性,頁面中資料如何才能準

從一段.html程式碼說起談談AngularJs中的雙向資料

<!DOCTYPE html> <html lang="en" ng-app> <--省略head部分程式碼—> <body> input1: <input type="text" ng-model='message'

SpringMVC 資料時,表單輸入值與實體資料型別一一對應的問題

SpringMVC 資料繫結的一個小小的錯誤,竟浪費了不少時間,趕緊記下來,免得重蹈覆轍。 Model public class Student{ private String name;

資料以及Container.DataItem幾種方式與用法分析

靈活的運用資料繫結操作        繫結到簡單屬性:<%#UserName%>        繫結到集合:<asp:ListBox id="ListBox1" datasource='<%# myArray%>' runat="server"&

Atitit  專案介面h5化靜態html化計劃---vue.js 把ajax獲取到的資料 到表格控制元件 v2 r33.docx

Atitit  專案介面h5化靜態html化計劃---vue.js 把ajax獲取到的資料 繫結到表格控制元件 v2 r33.docx 3. 其他 4 1. 場景:應用在專案列表查詢場景下 全面的的使用html h5介面分離前後端,使介面可以通用與p

HTML中的資料(Data Binding)

有沒想過在javascript中使用recordset?原來在客戶端操作資料也可以這樣簡單,定義一個數據源,將資料繫結在各種tag上,實現應用程式般的效果,酷斃了!(首先申明一點,文章的內容全部來自msdn,不過用我自己的話總結而已。)先看看這樣兩個例子:http://msd

SpringMVC自定義日期型別的資料

目錄: 應用場景 實現方法 [一]、應用場景 在實際應用中,經常會碰到表單中的日期 字串和Javabean中的日期型別的屬性自動轉換,一般頁面輸入的日誌格式為:yyyy-MM-dd ,而SpringMVC中預設不支援這樣的格式轉換,所以需要我們