Java项目安全处理方法
- 更新时间:2022-06-23 10:34:58
- 编辑:殳永安
参考资料
- Java开发利器:Myeclipse全面详解 PDF 电子书 / 11.10MB / 北风网讲师 推荐度:
- Java核心技术卷II:高级特性(第10版) PDF 电子书 / 195.7 MB / 霍斯特曼 推荐度:
- Java面向对象程序设计 课后答案 / 63.5 KB / 张跃平 耿祥义 推荐度:
正文内容
一、URL中参数显示问题,解决方案:
1、普通Get请求修改为Post请求
2、参数加密(js加密,Java解密)
二、Mybatis模糊查询中,sql拼接问题,解决方案方案:
1、使用安全的符号和方法,xml中拼接示例:
<if test="stateList != null">
state in
<foreach close=")" collection="stateList" index="index" item="sta" open="(" separator=",">
#{stateList[${index}]}
</foreach>
</if>
<if test="title != null and title != ''">
and title like concat('%',#{title},'%')
</if>
2、Java中转义特殊字符,Java中字符处理示例:
param = param.replace("%", "\\%");
param = param.replace("_", "\\_");
param = param.replace(",", "\\,");
param = param.replace("'", "\\'");
param = param.replace("/", "//");
param = param.replace("\\", \\\\);
三、文件上传安全问题
解决方案:判断文件名、请求ContentType和文件头内容。
文件头内容判断:
常见文件类型识别
常用文件的头信息: JPEG (jpg),文件头:FFD8FFE1 PNG (png),文件头:89504E47 GIF (gif),文件头:47494638 TIFF (tif),文件头:49492A00 Windows Bitmap (bmp),文件头:424D CAD (dwg),文件头:41433130 Adobe Photoshop (psd),文件头:38425053 Rich Text Format (rtf),文件头:7B5C727466 XML (xml),文件头:3C3F786D6C HTML (html),文件头:68746D6C3E Email [thorough only] (eml),文件头:44656C69766572792D646174653A Outlook Express (dbx),文件头:CFAD12FEC5FD746F Outlook (pst),文件头:2142444E MS Word/Excel (xls.or.doc),文件头:D0CF11E0 MS Access (mdb),文件头:5374616E64617264204A WordPerfect (wpd),文件头:FF575043 Postscript (eps.or.ps),文件头:252150532D41646F6265 Adobe Acrobat (pdf),文件头:255044462D312E Quicken (qdf),文件头:AC9EBD8F Windows Password (pwl),文件头:E3828596 ZIP Archive (zip),文件头:504B0304 RAR Archive (rar),文件头:52617221 Wave (wav),文件头:57415645 AVI (avi),文件头:41564920 Real Audio (ram),文件头:2E7261FD Real Media (rm),文件头:2E524D46 MPEG (mpg),文件头:000001BA MPEG (mpg),文件头:000001B3 Quicktime (mov),文件头:6D6F6F76 Windows Media (asf),文件头:3026B2758E66CF11 MIDI (mid),文件头:4D546864
java附件上传时后台验证上传文件的合法性
public static Map<string, string=""> mFileTypes = new HashMap<string, string="">();
static {
// imagesFFD8FFE1
mFileTypes.put("FFD8FFE1", ".jpg");
mFileTypes.put("FFD8FFE0", ".jpg");
mFileTypes.put("89504E47", ".png");
mFileTypes.put("47494638", ".gif");
mFileTypes.put("49492A00", ".tif");
mFileTypes.put("424D", ".bmp");
// 办公文档类
mFileTypes.put("D0CF11E0", ".doc"); // ppt、doc、xls
mFileTypes.put("504B0304", ".docx"); // pptx、docx、xlsx
/** 注意由于文本文档录入内容过多,则读取文件头时较为多变-START **/
mFileTypes.put("0D0A0D0A", ".txt"); // txt
mFileTypes.put("0D0A2D2D", ".txt"); // txt
mFileTypes.put("0D0AB4B4", ".txt"); // txt
mFileTypes.put("B4B4BDA8", ".txt"); // 文件头部为汉字
mFileTypes.put("73646673", ".txt"); // txt,文件头部为英文字母
mFileTypes.put("32323232", ".txt"); // txt,文件头部内容为数字
mFileTypes.put("0D0A09B4", ".txt"); // txt,文件头部内容为数字
mFileTypes.put("3132330D", ".txt"); // txt,文件头部内容为数字
/** 注意由于文本文档录入内容过多,则读取文件头时较为多变-END **/
mFileTypes.put("25504446", ".pdf");
mFileTypes.put("255044462D312E", ".pdf");
// 压缩包
mFileTypes.put("52617221", ".rar");
mFileTypes.put("1F8B08", ".gz");
}
/**
* 判断上传的文件是否合法
*
* @param file
* 文件
* @param contentType
* 是否指定类型
* @param typeStr
* 文件类型后缀名(.jpg,.png,.gif,.jpeg)
* @return
*/
public Boolean checkFileIllegal(MultipartFile file, String fileName, String typeStr) {
if (!file.isEmpty()) {
if (StringUtils.isNotBlank(file.getContentType())) {
String type = null;
try {
type = getFileType(file.getInputStream());
} catch (IOException e) {
logger.error("checkFileIllegal->getFileType->error:" + e.getMessage());
return false;
}
if (null != type && -1 != typeStr.indexOf(type)) {
int index = fileName.lastIndexOf(".");
if (StringUtils.isNotBlank(fileName) && -1 != index) {
String fileType = fileName.substring(index).toLowerCase();
if (-1 != typeStr.indexOf(fileType)) {
return true;
}
}
}
}
}
return false;
}
/**
* 根据文件的输入流获取文件头信息
* @return 文件头信息
*/
public static String getFileType(InputStream is) {
byte[] b = new byte[4];
if (is != null) {
try {
is.read(b, 0, b.length);
} catch (IOException e) {
e.printStackTrace();
}
}
return mFileTypes.get(getFileHeader(b));
}
总结
以上所说就是本文关于Java项目安全处理方法的全部内容,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对码农之家网站的支持!
Java相关教程
-
介绍Java源码解析阻塞队列ArrayBlockingQueue功能
今天小编就为大家分享一篇关于Java源码解析阻塞队列ArrayBlockingQueue功能简介,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
发布时间:2020-02-03
-
《Java编程的逻辑》知识点总结
本篇文章是关于《Java编程的逻辑》这本书的相关读书笔记,总结了相关的重要知识点内容,有兴趣的朋友参考学习下。
发布时间:2018-08-02
-
Java语言Lang包下工具类详解
这篇文章主要介绍了Java语言Lang包下常用的工具类介绍,次奥变觉得挺不错的,这里分享给大家,需要的朋友可以参考下。
发布时间:2021-06-09
-
Java中通过Class类获取Class对象的实例方法
这篇文章主要给大家介绍了关于Java中通过Class类获取Class对象的方法,文中通过示例代码介绍的非常详细,对大家学习或者使用java具有一定的参考学习价值,需要的朋友们下面跟着小编来一起学
发布时间:2019-09-07
-
Java使用DateUtils对日期进行数学运算经典应用示例【附DateUtils相关包文件下载】
这篇文章主要介绍了Java使用DateUtils对日期进行数学运算的方法,可实现针对日期时间的各种常见运算功能,并附带DateUtils的相关包文件供读者下载使用,需要的朋友可以参考下
发布时间:2022-04-13
-
Java设计模式-动态代理代码详解
这篇文章主要介绍了Java动态代理(设计模式)代码详解,具有一定借鉴价值,需要的朋友可以参考下
发布时间:2020-02-26
-
Java获取文件路径出现乱码的问题的解决方法
今天小编就为大家分享一篇完美解决Java获取文件路径出现乱码的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
发布时间:2019-09-02
-
Java使用IOC控制反转的设计模式
这篇文章主要为大家详细介绍了Java使用IOC控制反转的三种设计模式,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
发布时间:2020-07-24
-
Java数据类型及类型转换的互相转换实例代码
这篇文章主要介绍了Java 数据类型及类型转换的互相转换实例代码,需要的朋友可以参考下
发布时间:2021-05-09
