Springboot中攔截GET請求獲取請求參數(shù)驗(yàn)證合法性核心方法

更新時(shí)間：2023年08月11日 09:37:54 作者：想養(yǎng)一只！

這篇文章主要介紹了Springboot中攔截GET請求獲取請求參數(shù)驗(yàn)證合法性,在Springboot中創(chuàng)建攔截器攔截所有GET類型請求，獲取請求參數(shù)驗(yàn)證內(nèi)容合法性防止SQL注入，這種方法適用攔截get類型請求，需要的朋友可以參考下

目的

在Springboot中創(chuàng)建攔截器攔截所有GET類型請求，獲取請求參數(shù)驗(yàn)證內(nèi)容合法性防止SQL注入（該方法僅適用攔截GET類型請求，POST類型請求參數(shù)是在body中，所以下面方法不適用）。

核心方法

1、攔截 http://127.0.0.1:8088/api/checkTechCertInfoCancel?name=ljh 類型：

Map<String, String[]> parameterMap = request.getParameterMap();

2、攔截http://127.0.0.1:8088/api/checkTechCertInfoCancel/ljh 類型：

Map<String, String> pathVariables = (Map<String, String>) request.getAttribute(HandlerMapping.URI_TEMPLATE_VARIABLES_ATTRIBUTE);

完整代碼

創(chuàng)建攔截器

import com.alibaba.fastjson.JSON;
import com.boc.ljh.utils.Result;
import com.boc.ljh.utils.status.AppErrorCode;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.HandlerMapping;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Map;
/**
* @Author: ljh
* @ClassName SqlInterceptor
* @Description 攔截器 用于攔截GET請求校驗(yàn)參數(shù)內(nèi)容
* @date 2023/8/9 10:12
* @Version 1.0
*/
@Component
public class SqlInterceptor implements HandlerInterceptor {
/**
* @Author: ljh
* @Description: 在controller前攔截請求
* @DateTime: 10:38 2023/8/9
* @Params:
* @Return
*/
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
System.err.println(request.getMethod());
if (request.getMethod().equals("GET") && request.getRequestURI().contains("?")) {
//獲取EGT請求中的參數(shù)，例如http://127.0.0.1:8088/api/checkTechCertInfoCancel?name=ljh 請求中的參數(shù)ljh
Map<String, String[]> parameterMap = request.getParameterMap();
for (Map.Entry<String, String[]> entry : parameterMap.entrySet()) {
String[] value = entry.getValue();
for (String s : value) {
//校驗(yàn)參數(shù)值是否合法
if (verifySql(s)) {
response.setContentType("application/json;charset=utf-8");
Result result = new Result();
result.setMessage("請求參數(shù)中含有非法字符！請檢查重新輸入");
result.setStatus(500);
response.getWriter().write(JSON.toJSONString(result));
return false;
}
}
}
} else {
//獲取EGT請求中的參數(shù)，例如http://127.0.0.1:8088/api/checkTechCertInfoCancel/ljh 請求中的參數(shù)ljh
Map<String, String> pathVariables = (Map<String, String>) request.getAttribute(HandlerMapping.URI_TEMPLATE_VARIABLES_ATTRIBUTE);
for (String key : pathVariables.keySet()) {
//校驗(yàn)參數(shù)值是否合法
if (verifySql(pathVariables.get(key))) {
//返回錯(cuò)誤提示
response.setContentType("application/json;charset=utf-8");
Result result = new Result();
result.setMessage("請求參數(shù)中含有非法字符！請檢查重新輸入");
result.setStatus(500);
response.getWriter().write(JSON.toJSONString(result));
return false;
}
}
}
return true;
}
//處理請求完成后視圖渲染之前的處理操作
@Override
public void postHandle(HttpServletRequest request,
HttpServletResponse response, Object handler,
ModelAndView modelAndView) throws Exception {
// TODO Auto-generated method stub
}
//視圖渲染之后的操作
@Override
public void afterCompletion(HttpServletRequest request,
HttpServletResponse response, Object handler, Exception ex)
throws Exception {
// TODO Auto-generated method stub
}
/**
* @Author: ljh
* @Description: 校驗(yàn)非法字符
* @DateTime: 11:15 2023/8/9
* @Params:
* @Return
*/
public boolean verifySql(String parameter) {
String s = parameter.toLowerCase();
// 過濾掉的sql關(guān)鍵字，特殊字符前面需要加\\進(jìn)行轉(zhuǎn)義
String badStr =
"select|update|and|or|delete|insert|truncate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute|table|" +
"char|declare|sitename|xp_cmdshell|like|from|grant|use|group_concat|column_name|" +
"information_schema.columns|table_schema|union|where|order|by|" +
"'\\*|\\;|\\-|\\--|\\+|\\,|\\//|\\/|\\%|\\#";
//使用正則表達(dá)式進(jìn)行匹配
boolean matches = s.matches(badStr);
return matches;
}

注冊攔截器

/**
* @Author: ljh
* @ClassName MvcInterceptorConfig
* @Description 注冊SqlInterceptor攔截器到容器中
* @date 2023/8/9 10:21
* @Version 1.0
*/
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class MvcInterceptorConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new SqlInterceptor()) //需要注冊到容器中的攔截器
.addPathPatterns("/**"); //所有請求都被攔截，靜態(tài)資源也被攔截
//                .excludePathPatterns("/", "/login", "/css/**", "/fonts/**", "/images/**", "/js/**"); // 放行的請求
}
}