Ⅰ 在.net中怎么样过滤地址栏特殊字符
using System;
using System.Text.Regularexpression_rs;
using System.Web; bitscn_com
namespace FSqlKeyWord{
/// <summary>
/// SqlKey 的摘要说明。
/// </summary>
public class SqlKey{
private HttpRequest request;
private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
private const string StrRegex = @"[-|;|,|/|(|)|[|]|}|{|%|@|*|!|']";
public SqlKey(System.Web.HttpRequest _request){
//
// TODO: 在此处添加构造函数逻辑
//
this.request = _request;
}
/// <summary>
/// 只读属性 SQL关键字
/// </summary>
public static string KeyWord{
get{
return StrKeyWord;
}
}
/// <summary>
/// 只读属性过滤特殊字符
/// </summary>
public static string RegexString{
get{
return StrRegex;
}
}
/// <summary>
/// 检查URL参数中是否带有SQL注入可能关键字。
/// </summary>
/// <param name="_request">当前HttpRequest对象</param>
/// <returns>存在SQL注入关键字true存在,false不存在</returns>
public bool CheckRequestQuery(){
if (request.QueryString.Count != 0){
//若URL中参数存在,逐个比较参数。
for (int i = 0; i < request.QueryString.Count; i++){
// 检查参数值是否合法。
if (CheckKeyWord(request.QueryString[i].ToString())){
return true;
}
}
}
return false;
}
/// <summary>
/// 检查提交表单中是否存在SQL注入可能关键字
/// </summary>
/// <param name="_request">当前HttpRequest对象</param>
/// <returns>存在SQL注入关键字true存在,false不存在</returns>
public bool CheckRequestForm(){
if (request.Form.Count > 0){
//获取提交的表单项不为0 逐个比较参数
for (int i = 0; i < request.Form.Count; i++) {
//检查参数值是否合法
if (CheckKeyWord(request.Form[i])){
//存在SQL关键字
return true;
}
}
}
return false;
}
/// <summary>
/// 静态方法,检查_sword是否包涵SQL关键字
/// </summary>
/// <param name="_sWord">被检查的字符串</param>
/// <returns>存在SQL关键字返回true,不存在返回false</returns>
public static bool CheckKeyWord(string _sWord){
if (Regex.IsMatch(_sWord, StrKeyWord, RegexOptions.IgnoreCase) || Regex.IsMatch(_sWord, StrRegex))
return true;
return false;
}
/// <summary>
/// 反SQL注入:返回1无注入信息, 则返回错误处理
/// </summary>
/// <returns>返回1无注入信息,否则返回错误处理</returns>
public string CheckMessage(){
string msg = "1";
if (CheckRequestQuery()) //CheckRequestQuery() || CheckRequestForm(){
msg = "<span style='font-size:24px;'>非法操作!<br>";
msg += "操作IP:" + request.ServerVariables["REMOTE_ADDR"] + "<br>";
msg += "操作时间:" + DateTime.Now + "<br>";
msg += "页面:" + request.ServerVariables["URL"].ToLower() + "<br>";
msg += "<a href="#" onclick="history.back()">返回上一页</a></span>";
}
return msg.ToString();
}
}
}
Ⅱ Linux curl,https get 地址里有特殊字符怎么处理
先试试非特殊字符是否OK;如果OK,那应该就是url encode的问题了。建议最后的URL用引号引起来:
https://192.168.1.23:443/bmsc/\\\~\_\!\@\$\^\&\*.xml
非特殊字符的是OK的。
“ 建议最后的URL用引号引起来:
https://192.168.1.23:443/bmsc/\\\~\_\!\@\$\^\&\*.xml ”
是这样吗:
curl --data-urlencode "\\~\_\!\@\$\^\&\*.xml" --cacert /var/ca-pem/ca-bundle-for-cdn.pem --digest “https://192.168.1.23:443/bmsc/\\\~\_\!\@\$\^\&\*.xml ”
引用 3 楼 xiaoxiao_0223 的回复:非特殊字符的是OK的。
“ 建议最后的URL用引号引起来:
https://192.168.1.23:443/bmsc/\\\~\_\!\@\$\^\&\*.xml ”
是这样吗:
curl --data-urlencode "\\~\_\!\@\$\^\&\*.xml" --cacert /var/ca-pem/ca-bundle-for-cdn.pem --digest “https://192.168.1.23:443/bmsc/\\\~\_\!\@\$\^\&\*.xml ”
注意中英文,最好用单引号,双引号的话Shell还是会解析的。
引用 4 楼 lishanchao 的回复:Quote: 引用 3 楼 xiaoxiao_0223 的回复:
非特殊字符的是OK的。
Ⅲ java io 读入文件 怎么过滤特殊字符
1.io只能在读完之后才能对读出来的数据String数组继续判断。读完之后循环进行过滤
Ⅳ 请问PHP怎么过滤GET或者POST的参数防止js注入,或者一些html注入请请提供代码参考谢谢!
string mysql_real_escape_string ( string unescaped_string [, resource link_identifier])
本函数将来 unescaped_string 中的特殊字符自转义,并计及连接的当前字符集,因此可以安全用于 mysql_query()。
注: mysql_real_escape_string() 并不转义 % 和 _。
例子 1. mysql_real_escape_string() 例子
<?php
$item = "Zak's and Derick's Laptop";
$escaped_item = mysql_real_escape_string($item);
printf ("Escaped string: %s\n", $escaped_item);
?>
以上例子将产生如下输出:
Escaped string: Zak\'s and Derick\'s Laptop
Ⅳ Linux curl,https get 地址里有特殊字符怎么处理
先试试非特殊字符是否OK;如果OK,那应该就是url encode的问题了。
建议最后的URL用引号引起来:
https://192.168.1.23:443/bmsc/\\\~\_\!\@\$\^\&\*.xml
非特殊字符的是OK的。
“ 建议最后的URL用引号引起来:
https://192.168.1.23:443/bmsc/\\\~\_\!\@\$\^\&\*.xml ”
是这样吗:
curl --data-urlencode "\\~\_\!\@\$\^\&\*.xml" --cacert /var/ca-pem/ca-bundle-for-cdn.pem --digest “https://192.168.1.23:443/bmsc/\\\~\_\!\@\$\^\&\*.xml ”
引用 3 楼 xiaoxiao_0223 的回复:非特殊字符的是OK的。
“ 建议最后的URL用引号引起来:
https://192.168.1.23:443/bmsc/\\\~\_\!\@\$\^\&\*.xml ”
是这样吗:
curl --data-urlencode "\\~\_\!\@\$\^\&\*.xml" --cacert /var/ca-pem/ca-bundle-for-cdn.pem --digest “https://192.168.1.23:443/bmsc/\\\~\_\!\@\$\^\&\*.xml ”
注意中英文,最好用单引号,双引号的话Shell还是会解析的。
引用 4 楼 lishanchao 的回复:Quote: 引用 3 楼 xiaoxiao_0223 的回复:
非特殊字符的是OK的。
“ 建议最后的URL用引号引起来:
https://192.168.1.23:443/bmsc/\\\~\_\!\@\$\^\&\*.xml ”
是这样吗:
curl --data-urlencode "\\~\_\!\@\$\^\&\*.xml" --cacert /var/ca-pem/ca-bundle-for-cdn.pem --digest “https://192.168.1.23:443/bmsc/\\\~\_\!\@\$\^\&\*.xml ”
注意中英文,最好用单引号,双引号的话Shell还是会解析的。
这个含特殊字符的URL解析不了,主要是因为有了一个反斜杠在里面,当没有反斜杠时是可以正常 get的,最后找到了解决的方法,不过是个比较笨的方法,命令是这样的,用 反斜杠 encode的值代替 加到URL里面:
curl -v -G --cacert /var/ca-pem/ca-bundle-for-cdn.pem --digest https://MPD-IS-01:443/bmsc/%5C\~_\!\@\$\^\&\*%23.xml -o sa003.xml
这里没有再用 --data-urlencode 这个参数了,因为 --data-urlencode后会在你的URL后面会多出一个问号:?;而是直接先将"\\" encode,方法如下:
curl -v -G --cacert /var/ca-pem/ca-bundle-for-cdn.pem --digest https://MPD-IS-01:443/bmsc/ --data-urlencode "\\"
用上面的命令可以得到"\\"的 Unicode编码,会在命令下直接打出来的,能看到是"%5C",得到这个值后,直接替换URL里面的反斜杠就好了。
Ⅵ java过滤特殊字符的问题
"+"在URL中会被当作空格处理。
必须使用URLEncoder将其变成URL编码。
或者使用 javascript 的 encodeURIComponent(url) 函数对URL进行编码转换。
Ⅶ Spring特殊字符处理
在使用Spring或Spring Boot时一些特殊的参数会被转义,或者因转义导致出现异常情况,本文汇总总结相关问题及解决方案,帮助大家快速定位和解决问题。
问题一:参数特殊符号被后端转义
WEB开发时,前端通过get/post方法传递参数的时,如果实参附带特殊符号,后端接收到的值中特殊符号就会被转义。
例如请求: http://localhost:10001/demo/index?name= 张三(1)
后端接收到的name值中“(”和“)”被转义。
针对此问题有以下解决方案:
1、检查web.xml里是否配置了过滤特殊字符的filter,若不需要可以关掉此filter。
2、java中可以使用org.apache.commons.lang包中的public static String unescapeHtml(String str)方法来进行解码。实践中尝试了很多方法没有解决,最后使用了该方法,将接收到的包含特殊字符的字符串通过该方法进行解码。
3、在Controller接收的参数前加上@RequestBody注解,示例如下:
@PostMapping(value = "/add")
@ResponseBody
public String addMessage(@RequestBody ParamVo params) {
}
通常情况下,基于RESTful的API经常使用@RequestBody来自动绑定body中的请求参数到实体类对象。使用@RequestBody能解决大多数情况的问题,但某些特殊字符依旧无法正常解决,还需要通过方案二进行补充解决。
使用该中方案进行数据交互时,前度对应的请求需要 声明dataType和contentType,传递的参数并用JSON.stringify()转为json字符串。
$.ajax({
url: CONTEXTPATH + "/add",
type: 'POST',
dataType: 'JSON',
contentType : 'application/json',
data: JSON.stringify(Data),
success: function (data) {
}
})
问题二:/被转义成%2F导致400错误
前端GET请求url中带有路径参数,参数中有/特殊字符,前端已经转义成了%2F,后端springboot并没有收到这个请求,直接返回了400的错误。
原因:据说是tomcat默认是不支持转义的,需要手动设置一下转化,搜索tomcat的设置可以找到,但在springboot中内置的tomcat,在yml中找不到相关的配置。
解决方案:修改启动类,添加系统参数并重写WebMvcConfigurerAdapter的configurePathMatch方法。
@SpringBootApplication
public class Application extends WebMvcConfigurerAdapter {
public static void main(String[] args) throws Exception {
System.setProperty("org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH", "true");
SpringApplication.run(Application.class, args);
}
@Override
public void configurePathMatch(PathMatchConfigurer configurer) {
UrlPathHelper urlPathHelper = new UrlPathHelper();
urlPathHelper.setUrlDecode(false);
configurer.setUrlPathHelper(urlPathHelper);
}
}
其中实现WebMvcConfigurerAdapter接口新版本中改为实现WebMvcConfigurer接口。重写的方法名称是一样的。该部分也可以单独在WebMvc的配置类中实现,而不是放在启动类。
当然,设置tomcat的参数是需要写在main方法当中进行设置的。
问题三:整合jackson的转义
Spring Boot默认配置json转换工具就是Jackson, 如果你此时使用的正是Jackson框架,那么可在配置文件中进行是否转义的配置,配置项如下:
spring.jackson.date-format=yyyy-MM-dd HH:mm:ss
spring.jackson.serialization.indent_output=true
spring.jackson.serialization.fail_on_empty_beans=false
spring.jackson.defaultPropertyInclusion=NON_EMPTY
spring.jackson.deserialization.fail_on_unknown_properties=false
spring.jackson.parser.allow_unquoted_control_chars=true
spring.jackson.parser.allow_single_quotes=true
其中重点关注allow_unquoted_control_chars项的配置。
当然,相应的配置如果是在配置类中实现的自定义ObjectMapper,可以在自定义时进行设置:
@Configuration
public class JacksonConfig {
}
在类中做过修改中, 配置文件中的配置将不再起作用。
问题四:接收JSON时发生转义字符绑定对象失败
在做Spring boot 项目时发生json转义字符绑定对象失败,原因是json里面有些字段包括空格,反斜杠等,如果框架没有对这些json进行转化时,就会报类似如下错误
org.codehaus.jackson.JsonParseException: Illegal unquoted character ((CTRL-CHAR, code 9)): has to be escaped using backslash to be included in string value
at [Source: java.io.StringReader@10cfc2e3 ; line: 1, column: 2461]
解决办法:
1、pom.xml文件增加fastjson依赖。
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.15</version>
</dependency>
如果项目中已经引入则无需新增该依赖。
2、增加配置类
@SpringBootApplication
public class JsonController extends WebMvcConfigurerAdapter {
@Override
public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
super.configureMessageConverters(converters);
FastJsonHttpMessageConverter fastConverter = new FastJsonHttpMessageConverter();
FastJsonConfig fastJsonConfig = new FastJsonConfig();
fastJsonConfig.setSerializerFeatures(
SerializerFeature.PrettyFormat
);
fastConverter.setFastJsonConfig(fastJsonConfig);
converters.add(fastConverter);
}
}
这里的配置方法同问题二中的一样,新版本Spring Boot 通过WebMvcConfigurer接口来完成。
Ⅷ PHP if ($_GET['key'] 过滤
如果是特殊的需要key匹配的特点去写正则匹配.例如
$w='kjhgerz123z1iuhiugerhhg';
$s='kjhgerz2z1iuhiugerhhg';
$m='/z[0-9]{2,}/';
if(preg_match($m,$w)){
echo"出现关键字";
}else{
echo"关键字未出现过";
}
if(preg_match($m,$s)){
echo"出现关键字";
}else{
echo"关键字未出现过";
}