Skip to content

J
jeecg-boot

ni5 / jeecg-boot
与 Fork 源项目一致

Fork自 weixin_54676683 / jeecg-boot

通知 2
Star 1
Fork 0
J
jeecg-boot

体验新版 GitCode,发现更多精彩内容 >>

切换分支/标签
查找文件 普通视图历史永久链接Permalink
SqlInjectionUtil.java 3.3 KB
Newer Older
JEECG低代码平台's avatar
JEECG-BOOT 2.0.2版本发布  
JEECG低代码平台 已提交
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 
package org.jeecg.common.util;

import lombok.extern.slf4j.Slf4j;

/**
 * sql注入处理工具类
 * 
 * @author zhoujf
 */
@Slf4j
public class SqlInjectionUtil {
	final static String xssStr = "'|and |exec |insert |select |delete |update |drop |count |chr |mid |master |truncate |char |declare |;|or |+|,";

	/**
	 * sql注入过滤处理,遇到注入关键字抛异常
	 * 
	 * @param value
	 * @return
	 */
	public static void filterContent(String value) {
		if (value == null || "".equals(value)) {
			return;
		}
JEECG低代码平台's avatar
Jeecg-Boot 2.1.4 版本发布 | 重构较大,较多新功能  
JEECG低代码平台 已提交
24 25 
		// 统一转为小写
		value = value.toLowerCase();
JEECG低代码平台's avatar
JEECG-BOOT 2.0.2版本发布  
JEECG低代码平台 已提交
26 27 28 
		String[] xssArr = xssStr.split("\\|");
		for (int i = 0; i < xssArr.length; i++) {
			if (value.indexOf(xssArr[i]) > -1) {
JEECG低代码平台's avatar
Jeecg-Boot 2.1.4 版本发布 | 重构较大,较多新功能  
JEECG低代码平台 已提交
29 
				log.error("请注意,存在SQL注入关键词---> {}", xssArr[i]);
JEECG低代码平台's avatar
JEECG-BOOT 2.0.2版本发布  
JEECG低代码平台 已提交
30 31 32 33 34 35 36 37 38 39 
				log.error("请注意,值可能存在SQL注入风险!---> {}", value);
				throw new RuntimeException("请注意,值可能存在SQL注入风险!--->" + value);
			}
		}
		return;
	}

	/**
	 * sql注入过滤处理,遇到注入关键字抛异常
	 *
JEECG低代码平台's avatar
Jeecg-Boot 2.1.4 版本发布 | 重构较大,较多新功能  
JEECG低代码平台 已提交
40 
	 * @param values
JEECG低代码平台's avatar
JEECG-BOOT 2.0.2版本发布  
JEECG低代码平台 已提交
41 42 43 44 45 46 47 48 
	 * @return
	 */
	public static void filterContent(String[] values) {
		String[] xssArr = xssStr.split("\\|");
		for (String value : values) {
			if (value == null || "".equals(value)) {
				return;
			}
JEECG低代码平台's avatar
Jeecg-Boot 2.1.4 版本发布 | 重构较大,较多新功能  
JEECG低代码平台 已提交
49 50 
			// 统一转为小写
			value = value.toLowerCase();
JEECG低代码平台's avatar
JEECG-BOOT 2.0.2版本发布  
JEECG低代码平台 已提交
51 52 
			for (int i = 0; i < xssArr.length; i++) {
				if (value.indexOf(xssArr[i]) > -1) {
JEECG低代码平台's avatar
Jeecg-Boot 2.1.4 版本发布 | 重构较大,较多新功能  
JEECG低代码平台 已提交
53 
					log.error("请注意,存在SQL注入关键词---> {}", xssArr[i]);
JEECG低代码平台's avatar
JEECG-BOOT 2.0.2版本发布  
JEECG低代码平台 已提交
54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 
					log.error("请注意,值可能存在SQL注入风险!---> {}", value);
					throw new RuntimeException("请注意,值可能存在SQL注入风险!--->" + value);
				}
			}
		}
		return;
	}

	/**
	 * @特殊方法(不通用) 仅用于字典条件SQL参数,注入过滤
	 * @param value
	 * @return
	 */
	@Deprecated
	public static void specialFilterContent(String value) {
JEECG低代码平台's avatar
Jeecg-Boot 2.1.4 版本发布 | 重构较大,较多新功能  
JEECG低代码平台 已提交
69 
		String specialXssStr = " exec | insert | select | delete | update | drop | count | chr | mid | master | truncate | char | declare |;|+|";
JEECG低代码平台's avatar
Jeecg-Boot 2.1.0 版本发布,Online表单开发&在线代码生成器(迟到的版本)  
JEECG低代码平台 已提交
70 71 72 73 
		String[] xssArr = specialXssStr.split("\\|");
		if (value == null || "".equals(value)) {
			return;
		}
JEECG低代码平台's avatar
Jeecg-Boot 2.1.4 版本发布 | 重构较大,较多新功能  
JEECG低代码平台 已提交
74 75 
		// 统一转为小写
		value = value.toLowerCase();
JEECG低代码平台's avatar
Jeecg-Boot 2.1.0 版本发布,Online表单开发&在线代码生成器(迟到的版本)  
JEECG低代码平台 已提交
76 
		for (int i = 0; i < xssArr.length; i++) {
JEECG低代码平台's avatar
Jeecg-Boot 2.1.4 版本发布 | 重构较大,较多新功能  
JEECG低代码平台 已提交
77 78 
			if (value.indexOf(xssArr[i]) > -1 || value.startsWith(xssArr[i].trim())) {
				log.error("请注意,存在SQL注入关键词---> {}", xssArr[i]);
JEECG低代码平台's avatar
Jeecg-Boot 2.1.0 版本发布,Online表单开发&在线代码生成器(迟到的版本)  
JEECG低代码平台 已提交
79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 
				log.error("请注意,值可能存在SQL注入风险!---> {}", value);
				throw new RuntimeException("请注意,值可能存在SQL注入风险!--->" + value);
			}
		}
		return;
	}
	
	
	/**
	 * @特殊方法(不通用) 仅用于Online报表SQL解析,注入过滤
	 * @param value
	 * @return
	 */
	@Deprecated
	public static void specialFilterContentForOnlineReport(String value) {
JEECG低代码平台's avatar
Jeecg-Boot 2.1.4 版本发布 | 重构较大,较多新功能  
JEECG低代码平台 已提交
94 
		String specialXssStr = " exec | insert | delete | update | drop | chr | mid | master | truncate | char | declare |";
JEECG低代码平台's avatar
JEECG-BOOT 2.0.2版本发布  
JEECG低代码平台 已提交
95 96 97 98 
		String[] xssArr = specialXssStr.split("\\|");
		if (value == null || "".equals(value)) {
			return;
		}
JEECG低代码平台's avatar
Jeecg-Boot 2.1.4 版本发布 | 重构较大,较多新功能  
JEECG低代码平台 已提交
99 100 
		// 统一转为小写
		value = value.toLowerCase();
JEECG低代码平台's avatar
JEECG-BOOT 2.0.2版本发布  
JEECG低代码平台 已提交
101 
		for (int i = 0; i < xssArr.length; i++) {
JEECG低代码平台's avatar
Jeecg-Boot 2.1.4 版本发布 | 重构较大,较多新功能  
JEECG低代码平台 已提交
102 103 
			if (value.indexOf(xssArr[i]) > -1 || value.startsWith(xssArr[i].trim())) {
				log.error("请注意,存在SQL注入关键词---> {}", xssArr[i]);
JEECG低代码平台's avatar
JEECG-BOOT 2.0.2版本发布  
JEECG低代码平台 已提交
104 105 106 107 108 109 110 111 
				log.error("请注意,值可能存在SQL注入风险!---> {}", value);
				throw new RuntimeException("请注意,值可能存在SQL注入风险!--->" + value);
			}
		}
		return;
	}

}