Springboot中拦截GET请求获取请求参数验证合法性核心方法

更新时间：2023年08月11日 09:37:54 作者：想养一只！

这篇文章主要介绍了Springboot中拦截GET请求获取请求参数验证合法性,在Springboot中创建拦截器拦截所有GET类型请求，获取请求参数验证内容合法性防止SQL注入，这种方法适用拦截get类型请求，需要的朋友可以参考下

目的

在Springboot中创建拦截器拦截所有GET类型请求，获取请求参数验证内容合法性防止SQL注入（该方法仅适用拦截GET类型请求，POST类型请求参数是在body中，所以下面方法不适用）。

核心方法

1、拦截 http://127.0.0.1:8088/api/checkTechCertInfoCancel?name=ljh 类型：

Map<String, String[]> parameterMap = request.getParameterMap();

2、拦截http://127.0.0.1:8088/api/checkTechCertInfoCancel/ljh 类型：

Map<String, String> pathVariables = (Map<String, String>) request.getAttribute(HandlerMapping.URI_TEMPLATE_VARIABLES_ATTRIBUTE);

完整代码

创建拦截器

import com.alibaba.fastjson.JSON;
import com.boc.ljh.utils.Result;
import com.boc.ljh.utils.status.AppErrorCode;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.HandlerMapping;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Map;
/**
* @Author: ljh
* @ClassName SqlInterceptor
* @Description 拦截器 用于拦截GET请求校验参数内容
* @date 2023/8/9 10:12
* @Version 1.0
*/
@Component
public class SqlInterceptor implements HandlerInterceptor {
/**
* @Author: ljh
* @Description: 在controller前拦截请求
* @DateTime: 10:38 2023/8/9
* @Params:
* @Return
*/
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
System.err.println(request.getMethod());
if (request.getMethod().equals("GET") && request.getRequestURI().contains("?")) {
//获取EGT请求中的参数，例如http://127.0.0.1:8088/api/checkTechCertInfoCancel?name=ljh 请求中的参数ljh
Map<String, String[]> parameterMap = request.getParameterMap();
for (Map.Entry<String, String[]> entry : parameterMap.entrySet()) {
String[] value = entry.getValue();
for (String s : value) {
//校验参数值是否合法
if (verifySql(s)) {
response.setContentType("application/json;charset=utf-8");
Result result = new Result();
result.setMessage("请求参数中含有非法字符！请检查重新输入");
result.setStatus(500);
response.getWriter().write(JSON.toJSONString(result));
return false;
}
}
}
} else {
//获取EGT请求中的参数，例如http://127.0.0.1:8088/api/checkTechCertInfoCancel/ljh 请求中的参数ljh
Map<String, String> pathVariables = (Map<String, String>) request.getAttribute(HandlerMapping.URI_TEMPLATE_VARIABLES_ATTRIBUTE);
for (String key : pathVariables.keySet()) {
//校验参数值是否合法
if (verifySql(pathVariables.get(key))) {
//返回错误提示
response.setContentType("application/json;charset=utf-8");
Result result = new Result();
result.setMessage("请求参数中含有非法字符！请检查重新输入");
result.setStatus(500);
response.getWriter().write(JSON.toJSONString(result));
return false;
}
}
}
return true;
}
//处理请求完成后视图渲染之前的处理操作
@Override
public void postHandle(HttpServletRequest request,
HttpServletResponse response, Object handler,
ModelAndView modelAndView) throws Exception {
// TODO Auto-generated method stub
}
//视图渲染之后的操作
@Override
public void afterCompletion(HttpServletRequest request,
HttpServletResponse response, Object handler, Exception ex)
throws Exception {
// TODO Auto-generated method stub
}
/**
* @Author: ljh
* @Description: 校验非法字符
* @DateTime: 11:15 2023/8/9
* @Params:
* @Return
*/
public boolean verifySql(String parameter) {
String s = parameter.toLowerCase();
// 过滤掉的sql关键字，特殊字符前面需要加\\进行转义
String badStr =
"select|update|and|or|delete|insert|truncate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute|table|" +
"char|declare|sitename|xp_cmdshell|like|from|grant|use|group_concat|column_name|" +
"information_schema.columns|table_schema|union|where|order|by|" +
"'\\*|\\;|\\-|\\--|\\+|\\,|\\//|\\/|\\%|\\#";
//使用正则表达式进行匹配
boolean matches = s.matches(badStr);
return matches;
}

注册拦截器

/**
* @Author: ljh
* @ClassName MvcInterceptorConfig
* @Description 注册SqlInterceptor拦截器到容器中
* @date 2023/8/9 10:21
* @Version 1.0
*/
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class MvcInterceptorConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new SqlInterceptor()) //需要注册到容器中的拦截器
.addPathPatterns("/**"); //所有请求都被拦截，静态资源也被拦截
//                .excludePathPatterns("/", "/login", "/css/**", "/fonts/**", "/images/**", "/js/**"); // 放行的请求
}
}

测试效果

请求内容合法：

请求内容不合法：

Springboot中使用过滤器校验PSOT类型请求参数内容

到此这篇关于Springboot中拦截GET请求获取请求参数验证合法性的文章就介绍到这了,更多相关Springboot拦截GET请求内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

Mybatis 自动映射(使用需谨慎)
这篇文章主要介绍了Mybatis 自动映射(使用需谨慎),文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2020-10-10
RocketMQ NameServer保障数据一致性实现方法讲解
这篇文章主要介绍了RocketMQ NameServer保障数据一致性实现方法，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2022-12-12
拉钩网java笔试题分享
这篇文章主要介绍了拉钩网java笔试题分享,下面是题目和实现示例,需要的朋友可以参考下
2014-05-05
Java设计模式之备忘录模式详解
这篇文章主要介绍了Java设计模式之备忘录模式详解,备忘录模式在不破坏封装性的前提下,捕获一个对象的内部状态并在该对象之外保存这个状态,这样以后就可以将该对象恢复到原先保存的状态,需要的朋友可以参考下
2023-12-12
如何使用会话Cookie和Java实现JWT身份验证
这篇文章主要介绍了如何使用会话Cookie和Java实现JWT身份验证，帮助大家更好的理解和使用Java，感兴趣的朋友可以了解下
2021-03-03
Jersey实现Restful服务(实例讲解)
下面小编就为大家带来一篇Jersey实现Restful服务(实例讲解)。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2017-08-08
javac -encoding 用法详解
当我们编辑了一个Java源文件保存时，是以操作系统默认的字符编码保存的（Windows xp默认字符集是GBK）。这篇文章主要介绍了javac -encoding 用法详解,非常具有实用价值。
2016-12-12
IDEA反编译出整个jar包源码
InteliJ IDEA默认带反编译插件，那么如何把反编译的jar包整体导出java源码来？本文就来介绍一下，感兴趣的可以了解下
2021-05-05
@Resource和@Autowired两个注解的区别及说明
这篇文章主要介绍了@Resource和@Autowired两个注解的区别及说明,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2024-06-06
SpringBoot工程下使用OpenFeign的坑及解决
这篇文章主要介绍了SpringBoot工程下使用OpenFeign的坑及解决方案，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-07-07