StringUtils和StringEscapeUtils这两个实用类。
1、转义防止xss攻击
1、转义可以分为下面的几种情况
第一用户输入特殊字符的时候,在提及的时候不做任何处理保持到数据库,当用户从数据库查询对对于的数据的时候,因为数据中存在特殊字符,要让特殊字符能够正常显示不被网页执行,需要对从数据库中查询出来的数据进行转义,比如用户输入一个左尖括号(<),在输出HTML代码对其进行显示的话,应该用”<”来表示
例如在数据库中存储的数据是:
<alert>(123)(*&^%$#@!)</alert>
如果不对这个数据中特殊字符进行转义,浏览器执行的时候会吧上面的语句当做是js引擎可以执行的语句,弹出一个alter对话框,经过转义之后
import org.apache.commons.lang3.StringEscapeUtils;
public class XSStest
{
public static void main(String[] args)
{
String s = "<alert>(123)(*&^%$#@!)</alert>";
s = StringEscapeUtils.escapeHtml4(s);
System.out.println(s);
}
}
输出的结果是:
这样输出是: <alert>(123)(*&^%$#@!)</alert>
可以有效的防止恶意的页面跳转,alert弹框。
commons-lang常用工具类StringEscapeUtils
2.escapeHtml /unescapeHtml 转义/反转义html脚本
System.out.println(StringEscapeUtils.escapeHtml("<a>dddd</a>"));
输出结果为:<a>dddd</a>
System.out.println(StringEscapeUtils.unescapeHtml("<a>dddd</a>"));
输出为:<a>ddd</a>
3.escapeJavascript/unescapeJavascript 转义/反转义js脚本
System.out.println(StringEscapeUtils.escapeJavaScript("<script>alert('1111')</script>"));
输出为:<script>alert('111')</script>
4.escapeJava/unescapeJava 把字符串转为unicode编码
System.out.println(StringEscapeUtils.escapeJava("中国"));
输出为:用escapeJava方法转义之后的字符串为:/u4E2D/u56FD/u5171/u4EA7/u515A
那么,所谓的加密其实就是做了unicode编码而已。
注意点:
表单富文本输入时,有html,需要转义,html+加中文时,用StringEscapeUtils.escapeHtml转义时,中文也转义了,经过查找,最终找到spring的org.springframework.web.util.HtmlUtils.htmlEscape,改转义不会对中午进行转义
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-webmvc</artifactId>
<version>3.0.6.RELEASE</version>
</dependency>
public static void main(String[] args) {
String a = "<html>吃饭</html>";
System.out.println(StringEscapeUtils.escapeHtml(a));
System.out.println(StringEscapeUtils.unescapeHtml(StringEscapeUtils.escapeHtml(a)));
System.out.println(HtmlUtils.htmlEscape(a));
System.out.println(HtmlUtils.htmlUnescape(HtmlUtils.htmlEscape(a)));
}
执行结果:
<html>吃饭</html>
<html>吃饭</html>
<html>吃饭</html>
<html>吃饭</html>
感觉还是spring好,一点一滴的比较贴心。
这里,我们使用代码进行详细测试下
需要引入最新的依赖
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-lang3</artifactId>
<version>3.4</version>
</dependency>
import java.io.IOException;
import org.apache.commons.lang3.StringEscapeUtils;
import org.springframework.context.support.ClassPathXmlApplicationContext;
public class Test {
public static void main(String[] args) throws IOException {
String str = "thi is <alter>a test 这是一个测试</alter>";
String xml = "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n" +
"<persons>\n" +
" <person id=\"23\">\n" +
" <name>张 三</name>\n" +
" <age>26</age>\n" +
" </person>\n" +
" <person id=\"22\">\n" +
" <name>李四</name>\n" +
" <age>25</age>\n" +
" </person>\n" +
"</persons>";
System.out.println("用escapeJava方法转义之后的字符串为:"+ StringEscapeUtils.escapeJava(str));
System.out.println("用unescapeJava方法反转义之后的字符串为:"+StringEscapeUtils.unescapeJava(StringEscapeUtils.escapeJava(str)));
System.out.println("用escapeHtml方法转义之后的字符串为:"+StringEscapeUtils.escapeHtml3(str));
System.out.println("用unescapeHtml方法反转义之后的字符串为:"+StringEscapeUtils.unescapeHtml3(StringEscapeUtils.escapeHtml3(str)));
System.out.println("用escapeXml方法转义之后的字符串为:"+StringEscapeUtils.escapeXml(xml));
System.out.println("用unescapeXml方法反转义之后的字符串为:"+StringEscapeUtils.unescapeXml(StringEscapeUtils.escapeXml(xml)));
String json2 = "{\"name\":\"chenggang\",\"age\":24}";
System.out.println("用escapeJson方法转义之后的字符串为:"+StringEscapeUtils.escapeJson(json2));
System.out.println("用unescapeJson方法反转义之后的字符串为:"+StringEscapeUtils.unescapeJson(StringEscapeUtils.escapeJson(json2)));
}
}
程序运行的结果是:
用escapeJava方法转义之后的字符串为:thi is <alter>a test \u8FD9\u662F\u4E00\u4E2A\u6D4B\u8BD5</alter>
用unescapeJava方法反转义之后的字符串为:thi is <alter>a test 这是一个测试</alter>
用escapeHtml方法转义之后的字符串为:thi is <alter>a test 这是一个测试</alter>
用unescapeHtml方法反转义之后的字符串为:thi is <alter>a test 这是一个测试</alter>
用escapeXml方法转义之后的字符串为:<?xml version="1.0" encoding="UTF-8"?>
<persons>
<person id="23">
<name>张 三</name>
<age>26</age>
</person>
<person id="22">
<name>李四</name>
<age>25</age>
</person>
</persons>
用unescapeXml方法反转义之后的字符串为:<?xml version="1.0" encoding="UTF-8"?>
<persons>
<person id="23">
<name>张 三</name>
<age>26</age>
</person>
<person id="22">
<name>李四</name>
<age>25</age>
</person>
</persons>
用escapeJson方法转义之后的字符串为:{\"name\":\"chenggang\",\"age\":24}
用unescapeJson方法反转义之后的字符串为:{"name":"chenggang","age":24}
2、转义预防sql注入
在commons-lang3版本上去除了2版本中对于的StringEscapeUtils.escapeSql这个方法,因为这个办法原来的实现采用下面的代码
public static String escapeSql(String str) {
693 if (str == null) {
694 return null;
695 }
696 return StringUtils.replace(str, "'", "''");
官网不推荐采用这种方法预防sql注入,而应该采用预编译的方式来防止sql注入,不要采用拼接的方式
You do not need to escape any elements that you insert using the functions on a prepared statement. Those are escaped automatically.
采用下面预编译的方式来防止sql注入
con.prepareStatement("INSERT INTO table1 VALUES (?,?)");
pstmt.setInt(1, 200);
pstmt.setString(2, "Julie");
pstmt.executeUpdate();