package com.pcm.web.pubs.servlet;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Iterator;
import java.util.List;
import java.util.Map;
import java.util.Set;
import java.util.StringTokenizer;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
* @version 1.0
* @author
*/
public class CharFilter implements Filter {
private List names = new ArrayList();
private List values = new ArrayList();
/**
* @see javax.servlet.Filter#void ()
*/
public void destroy() {
}
/**
* @see javax.servlet.Filter#void (javax.servlet.ServletRequest, javax.servlet.ServletResponse, javax.servlet.FilterChain)
*/
public void doFilter(
ServletRequest req,
ServletResponse res,
FilterChain chain)
throws ServletException, IOException {
int skipNum = 0;
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
Map map = request.getParameterMap();
Set keySet = map.keySet();
StringBuffer url = request.getRequestURL().append("?");
for (Iterator it = keySet.iterator(); it.hasNext();) {
String name = it.next().toString();
String value = request.getParameter(name);
//=======================开始过滤字符=====================================
if (value != null) {
System.out.println(
" ================== " + names + " " + values);
boolean bTrim = !value.equals(value.trim());
//两端空格
if (bTrim) {
value = value.trim();
skipNum++;
}
StringBuffer tmp = new StringBuffer(value);
boolean bSkip = false;
for (int i = 0; i < names.size(); i++) {
if (tmp.toString().indexOf((String) names.get(i)) != -1) {
bSkip = true;
break;
}
}
if (bSkip) {
//这里比较麻烦,是因为我用的jdk 1.3
//如果使用jdk 1.4以上版本,直接使用replaceAll()方法,即可替换所有的字符
//jdk 1.4 替换' 为 "" : value.replaceAll("\'","\"") ,够简单吧
for (int i = 0; i < tmp.length(); i++) {
char tmpChar = tmp.charAt(i);
for (int j = 0; j < names.size(); j++) {
if (String
.valueOf(tmpChar)
.equalsIgnoreCase(names.get(j).toString())) {
tmp.replace(i, i + 1, values.get(j).toString());
}
}
}
skipNum++;
value = tmp.toString();
}
//单引号
boolean bYinHao = tmp.toString().indexOf("\'") != -1;
if (bYinHao) {
for (int i = 0; i < url.length(); i++) {
if (tmp.charAt(i) == '\'') {
tmp.replace(i, i + 1, "\"");
}
}
skipNum++;
value = tmp.toString();
}
}
//=======================================================================
url.append(name).append("=").append(value).append("&");
}
if (skipNum > 0) {
System.out.println(url);
String urlStr = url.toString();
//注意,这里是要把编码再从gb2312倒转为ISO8859-1,因为表单参数传递使用的是ISO8859-1编码
urlStr = new String(urlStr.getBytes("gb2312"), "ISO8859-1");
response.sendRedirect(urlStr);
} else {
chain.doFilter(request, response);
}
}
/**
* Method init.
* @param config
* @throws javax.servlet.ServletException
*/
public void init(FilterConfig config) throws ServletException {
String charName = config.getInitParameter("charName");
String charValue = config.getInitParameter("charValue");
//这里比较麻烦,是因为我使用的是jdk1.3
//如果jdk 1.4以上, String[] names=charName.spilt(",");
//就可以把字符串按指定分割符分割为数组
StringTokenizer stkName = new StringTokenizer(charName, ",");
while (stkName.hasMoreTokens()) {
names.add(stkName.nextToken());
}
StringTokenizer stkValue = new StringTokenizer(charValue, ",");
while (stkValue.hasMoreTokens()) {
values.add(stkValue.nextToken());
}
}
}
2.web.xml配置filter
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app id="WebApp">
<display-name>TclRender</display-name>
<filter>
<filter-name>CharFilter</filter-name>
<display-name>CharFilter</display-name>
<filter-class>com.pcm.web.pubs.servlet.CharFilter</filter-class>
<init-param>
<param-name>charName</param-name>
<param-value>',^</param-value> <!-- , 为分隔符 -->
</init-param>
<init-param>
<param-name>charValue</param-name>
<param-value>",~</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CharFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
分享到:
相关推荐
用监听器实现在线人数统计,过滤器实现页面自动编码 非法字符过滤
过滤器过滤用户输入的非法字符,如“” “%” “+”等需要的两个类XssFilter.java和XssHttpServletRequestWrapper.java
此资源系本人在培训机构的资料,资源包含过滤器乱码过滤、过滤非法字符、权限过滤、病毒过滤、HTML标签过滤、js脚本过滤等代码演示实例和讲解文档,内容详细易懂,希望对象大家有所帮助!
(3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; ...
六个有用的java过滤器,包括使浏览器不缓存页面的过滤器、检测用户是否登陆的过滤器、字符编码的过滤器、资源保护过滤器、利用Filter限制用户浏览权限、利用Filter过滤非法关键字。
php class sqlsafe { private $getfilter = “‘|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|...
#在开发过程中,要对前端传过来的数据进行验证,防止sql注入攻击,其中的一个方案就是过滤用户传过来的非法的字符 def sql_filter(sql, max_length=20): dirty_stuff = ["\"", "\\", "/", "*", "'", "=", "-", "#",...
如果用户没有登陆都过滤掉),或者在传入servlet或者struts的action前统一设置字符集,或者去除掉一些非法字符(聊天室经常用到的,一些骂人的话)。filter 流程是线性的, url传来之后,检查之后,可保持原来的流程...
比如过滤掉非法url或者在传入servlet/struts的action前统一设置字符集,或者去除掉一些非法字符等; 拦截器--它由spring管理,只对action起作用,不能拦截jsp页面、图片等其他资源。执行顺序:过滤前 - 拦截前 - ...
针对该问题,提出了采用Bloom Filter(布隆过滤器)进行字符串模糊匹配方式,利用Bloom Filter将信息流中大部分正常流量过滤掉,从而减轻了后端的字符串精确匹配的压力,降低了系统功耗,大大提高了处理速度。
C#语言,使用StringSearchEx2.Replace过滤,在48k敏感词库上的过滤速度超过3亿字符每秒。(cpu i7 8750h) csharp文件夹说明: ToolGood.Pinyin.Build: 生成词的拼音ToolGood.Pinyin.Pretreatment: 生成拼音预处理...
44 throw new IOException("您发送请求中的参数中含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验 52 protected ...
⊕可自定义需要过滤的字符串,如: “'”、“select”、“xp_cmdshell”等。 ⊕可自定义查询串的长度防止缓冲溢出。 ⊕可自定义错误转向页面,如: http://www.iiswall.com.cn/antihacker.htm ■ IP阻塞...
例:WML或电脑版写代码时是不能过滤KL_In中的字符的,但是要过滤以下非法字符(太多数可能是脚本或过滤广告代码)--> <add key="KL_Filter_All " value="card|wml|display|操蛋|内射"/> <!--显示标题链接UBB:...
7. 防止XSS攻击,通过XssFilter类对所有的输入的非法字符串进行过滤以及替换。 8. 简单可用的代码生成体系,通过SimpleTemplateEngine可生成带有主页跳转和增删改查的通用控制器、html页面以及相关的js,还可以生成...
6、防止XSS攻击,通过XssFilter类对所有的输入的非法字符串进行过滤以及替换。 7、简单可用的代码生成体系,通过SimpleTemplateEngine可生成带有主页跳转和增删改查的通用控制器、html页面以及相关的js,还可以生成...