欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Java項(xiàng)目安全處理方法

 更新時(shí)間:2017年09月18日 10:16:04   作者:kxbhf的博客  
這篇文章主要介紹了Java項(xiàng)目安全處理方法,URL中參數(shù)顯示,sql拼接問題,需要的朋友可以參考下

一、URL中參數(shù)顯示問題,解決方案:

1、普通Get請求修改為Post請求

2、參數(shù)加密(js加密,Java解密)

二、Mybatis模糊查詢中,sql拼接問題,解決方案方案:

1、使用安全的符號和方法,xml中拼接示例:

<if test="stateList != null">
  state in 
  <foreach close=")" collection="stateList" index="index" item="sta" open="(" separator=",">
    #{stateList[${index}]}
  </foreach>
</if>
<if test="title != null and title != ''">
    and title like concat('%',#{title},'%') 
</if>

2、Java中轉(zhuǎn)義特殊字符,Java中字符處理示例:

param = param.replace("%", "\\%");
param = param.replace("_", "\\_");
param = param.replace(",", "\\,");
param = param.replace("'", "\\'");
param = param.replace("/", "http://");
param = param.replace("\\", \\\\);

三、文件上傳安全問題

解決方案:判斷文件名、請求ContentType和文件頭內(nèi)容。

文件頭內(nèi)容判斷:

常見文件類型識別

常用文件的頭信息: 
JPEG (jpg),文件頭:FFD8FFE1 
PNG (png),文件頭:89504E47 
GIF (gif),文件頭:47494638
TIFF (tif),文件頭:49492A00 
Windows Bitmap (bmp),文件頭:424D 
CAD (dwg),文件頭:41433130
Adobe Photoshop (psd),文件頭:38425053
Rich Text Format (rtf),文件頭:7B5C727466 
XML (xml),文件頭:3C3F786D6C 
HTML (html),文件頭:68746D6C3E 
Email [thorough only] (eml),文件頭:44656C69766572792D646174653A 
Outlook Express (dbx),文件頭:CFAD12FEC5FD746F 
Outlook (pst),文件頭:2142444E 
MS Word/Excel (xls.or.doc),文件頭:D0CF11E0 
MS Access (mdb),文件頭:5374616E64617264204A 
WordPerfect (wpd),文件頭:FF575043 
Postscript (eps.or.ps),文件頭:252150532D41646F6265 
Adobe Acrobat (pdf),文件頭:255044462D312E 
Quicken (qdf),文件頭:AC9EBD8F 
Windows Password (pwl),文件頭:E3828596 
ZIP Archive (zip),文件頭:504B0304 
RAR Archive (rar),文件頭:52617221
Wave (wav),文件頭:57415645
AVI (avi),文件頭:41564920
Real Audio (ram),文件頭:2E7261FD 
Real Media (rm),文件頭:2E524D46 
MPEG (mpg),文件頭:000001BA 
MPEG (mpg),文件頭:000001B3 
Quicktime (mov),文件頭:6D6F6F76 
Windows Media (asf),文件頭:3026B2758E66CF11 
MIDI (mid),文件頭:4D546864

java附件上傳時(shí)后臺驗(yàn)證上傳文件的合法性

public static Map<string, string=""> mFileTypes = new HashMap<string, string="">();
static {
    // imagesFFD8FFE1
    mFileTypes.put("FFD8FFE1", ".jpg");
    mFileTypes.put("FFD8FFE0", ".jpg");
    mFileTypes.put("89504E47", ".png");
    mFileTypes.put("47494638", ".gif");
    mFileTypes.put("49492A00", ".tif");
    mFileTypes.put("424D", ".bmp");
    // 辦公文檔類
    mFileTypes.put("D0CF11E0", ".doc"); // ppt、doc、xls
    mFileTypes.put("504B0304", ".docx"); // pptx、docx、xlsx
    /** 注意由于文本文檔錄入內(nèi)容過多,則讀取文件頭時(shí)較為多變-START **/
    mFileTypes.put("0D0A0D0A", ".txt"); // txt
    mFileTypes.put("0D0A2D2D", ".txt"); // txt
    mFileTypes.put("0D0AB4B4", ".txt"); // txt
    mFileTypes.put("B4B4BDA8", ".txt"); // 文件頭部為漢字
    mFileTypes.put("73646673", ".txt"); // txt,文件頭部為英文字母
    mFileTypes.put("32323232", ".txt"); // txt,文件頭部內(nèi)容為數(shù)字
    mFileTypes.put("0D0A09B4", ".txt"); // txt,文件頭部內(nèi)容為數(shù)字
    mFileTypes.put("3132330D", ".txt"); // txt,文件頭部內(nèi)容為數(shù)字
    /** 注意由于文本文檔錄入內(nèi)容過多,則讀取文件頭時(shí)較為多變-END **/
    mFileTypes.put("25504446", ".pdf");
    mFileTypes.put("255044462D312E", ".pdf");
    // 壓縮包
    mFileTypes.put("52617221", ".rar");
    mFileTypes.put("1F8B08", ".gz");
}
/**
    * 判斷上傳的文件是否合法
    * 
    * @param file
    *            文件
    * @param contentType
    *            是否指定類型
    * @param typeStr
    *            文件類型后綴名(.jpg,.png,.gif,.jpeg)
    * @return
    */
public Boolean checkFileIllegal(MultipartFile file, String fileName, String typeStr) {
    if (!file.isEmpty()) {
        if (StringUtils.isNotBlank(file.getContentType())) {
            String type = null;
            try {
                type = getFileType(file.getInputStream());
            } catch (IOException e) {
            logger.error("checkFileIllegal->getFileType->error:" + e.getMessage());
            return false;
        }
        if (null != type && -1 != typeStr.indexOf(type)) {
            int index = fileName.lastIndexOf(".");
            if (StringUtils.isNotBlank(fileName) && -1 != index) {
                String fileType = fileName.substring(index).toLowerCase();
                if (-1 != typeStr.indexOf(fileType)) {
                    return true;
                    }
                }
            }
        }
    }
    return false;
}
/**
 * 根據(jù)文件的輸入流獲取文件頭信息
 * @return 文件頭信息
 */
public static String getFileType(InputStream is) {
    byte[] b = new byte[4];
    if (is != null) {
        try {
            is.read(b, 0, b.length);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    return mFileTypes.get(getFileHeader(b));
}

總結(jié)

以上所說就是本文關(guān)于Java項(xiàng)目安全處理方法的全部內(nèi)容,希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對腳本之家網(wǎng)站的支持!

相關(guān)文章

  • SpringCloud集成zookeeper實(shí)現(xiàn)服務(wù)注冊并訪問功能

    SpringCloud集成zookeeper實(shí)現(xiàn)服務(wù)注冊并訪問功能

    zookeeper和eureka一樣,是用于充當(dāng)服務(wù)注冊功能服務(wù)器的一個(gè)springcloud插件,這篇文章主要介紹了SpringCloud集成zookeeper實(shí)現(xiàn)服務(wù)注冊并訪問,需要的朋友可以參考下
    2022-06-06
  • Java中的StringUtils引入及使用示例教程

    Java中的StringUtils引入及使用示例教程

    這篇文章主要介紹了Java中的StringUtils引入及使用示例教程,本文結(jié)合示例代碼給大家介紹的非常詳細(xì),介紹了java中StringUtils用法,感興趣的朋友跟隨小編一起看看吧
    2023-01-01
  • 詳解SpringBoot中Session超時(shí)原理說明

    詳解SpringBoot中Session超時(shí)原理說明

    本篇文章主要介紹了詳解SpringBoot中Session超時(shí)原理說明,小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過來看看吧
    2017-08-08
  • Java數(shù)據(jù)類型實(shí)現(xiàn)自動(dòng)與強(qiáng)制轉(zhuǎn)換的示例代碼

    Java數(shù)據(jù)類型實(shí)現(xiàn)自動(dòng)與強(qiáng)制轉(zhuǎn)換的示例代碼

    Java數(shù)據(jù)類型之間的轉(zhuǎn)換有自動(dòng)轉(zhuǎn)換和強(qiáng)制類型轉(zhuǎn)換,這篇文章主要給大家介紹Java數(shù)據(jù)類型如何實(shí)現(xiàn)自動(dòng)轉(zhuǎn)換與強(qiáng)制轉(zhuǎn)換,需要的朋友可以參考下
    2023-05-05
  • ZooKeeper命令及JavaAPI操作代碼

    ZooKeeper命令及JavaAPI操作代碼

    ZooKeeper是一個(gè)樹形目錄服務(wù),其數(shù)據(jù)模型和Uiix的文件目錄樹很類似,擁有一個(gè)層次化結(jié)構(gòu),這篇文章主要介紹了ZooKeeper命令及JavaAPI操作代碼,需要的朋友可以參考下
    2023-03-03
  • Spring?Boot中優(yōu)雅地處理參數(shù)傳遞的技巧分享

    Spring?Boot中優(yōu)雅地處理參數(shù)傳遞的技巧分享

    最近一直在學(xué)習(xí)Spring Boot,今天將其中的從前臺過來的參數(shù)傳遞總結(jié)一下,下面這篇文章主要給大家介紹了關(guān)于Spring?Boot中優(yōu)雅地處理參數(shù)傳遞的技巧,文中通過實(shí)例代碼介紹的非常詳細(xì),需要的朋友可以參考下
    2023-05-05
  • 關(guān)于springboot 配置文件中屬性變量引用方式@@解析

    關(guān)于springboot 配置文件中屬性變量引用方式@@解析

    這篇文章主要介紹了關(guān)于springboot 配置文件中屬性變量引用方式@@解析,具有很好的參考價(jià)值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2020-04-04
  • Java中JUC包(java.util.concurrent)下的常用子類

    Java中JUC包(java.util.concurrent)下的常用子類

    相信大家已經(jīng)對并發(fā)機(jī)制中出現(xiàn)的很多的常見知識點(diǎn)進(jìn)行了總結(jié),下面這篇文章主要給大家介紹了關(guān)于Java中JUC包(java.util.concurrent)下的常用子類的相關(guān)資料,文中通過圖文以及示例代碼介紹的非常詳細(xì),需要的朋友可以參考下
    2022-12-12
  • mybatis使用Integer類型查詢可能出現(xiàn)的問題

    mybatis使用Integer類型查詢可能出現(xiàn)的問題

    這篇文章主要介紹了mybatis使用Integer類型查詢可能出現(xiàn)的問題,具有很好的參考價(jià)值,希望對大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2022-03-03
  • 詳解java數(shù)組進(jìn)行翻轉(zhuǎn)的方法有哪些

    詳解java數(shù)組進(jìn)行翻轉(zhuǎn)的方法有哪些

    這篇文章主要介紹了詳解java數(shù)組進(jìn)行翻轉(zhuǎn)的方法有哪些,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2021-01-01

最新評論