The important thing in life is to have a great aim , and the determination 
          

          

          


          
	
		

          常用鏈接
          

		

          統(tǒng)計(jì)
          
	
		
		
		
          IT技術(shù)鏈接
          
		
				
			
	
		
          保險(xiǎn)相關(guān)
          
		
				
			
	
		
          友情鏈接
          
		
				
			
	
		
          基金知識(shí)
          
		
				
			
	
		
          生活相關(guān)
          
		
				
			
	

		

          最新評(píng)論
	
          

		
	

          

          
	
					
	
          
		
          
			特殊字符的轉(zhuǎn)義
		
          
		
          


        1. 特殊字符轉(zhuǎn)義   

        2.   

        3. 由于 Web 應(yīng)用程序需要聯(lián)合使用到多種語(yǔ)言,每種語(yǔ)言都包含一些特殊的字符,對(duì)于動(dòng)態(tài)語(yǔ)言或標(biāo)簽式的語(yǔ)言而言,如果需要?jiǎng)討B(tài)構(gòu)造語(yǔ)言的內(nèi)容時(shí),一個(gè)我們經(jīng)常會(huì)碰到的問(wèn)題就是特殊字符轉(zhuǎn)義的問(wèn)題。下面是 Web 開發(fā)者最常面對(duì)需要轉(zhuǎn)義的特殊字符類型:   

        4.   

        5. HTML 特殊字符;    

        6. JavaScript 特殊字符;    

        7. SQL 特殊字符;    

        8. 如果不對(duì)這些特殊字符進(jìn)行轉(zhuǎn)義處理,則不但可能破壞文檔結(jié)構(gòu),還可以引發(fā)潛在的安全問(wèn)題。Spring 為 HTML 和 JavaScript 特殊字符提供了轉(zhuǎn)義操作工具類,它們分別是 HtmlUtils 和 JavaScriptUtils。   

        9.   

        10. HTML 特殊字符轉(zhuǎn)義   

        11.   

        12. HTML 中 <,>,& 等字符有特殊含義,它們是 HTML 語(yǔ)言的保留字,因此不能直接使用。使用這些個(gè)字符時(shí),應(yīng)使用它們的轉(zhuǎn)義序列:   

        13.   

        14. &:&    

        15. " :"    

        16. < :<    

        17. > :>    

        18. 由于 HTML 網(wǎng)頁(yè)本身就是一個(gè)文本型結(jié)構(gòu)化文檔,如果直接將這些包含了 HTML 特殊字符的內(nèi)容輸出到網(wǎng)頁(yè)中,極有可能破壞整個(gè) HTML 文檔的結(jié)構(gòu)。所以,一般情況下需要對(duì)動(dòng)態(tài)數(shù)據(jù)進(jìn)行轉(zhuǎn)義處理,使用轉(zhuǎn)義序列表示 HTML 特殊字符。下面的 JSP 網(wǎng)頁(yè)將一些變量動(dòng)態(tài)輸出到 HTML 網(wǎng)頁(yè)中:   

        19.   

        20.   

        21. 清單 1. 未進(jìn)行 HTML 特殊字符轉(zhuǎn)義處理網(wǎng)頁(yè)   

        22.                    

        23. <%@ page language="java" contentType="text/html; charset=utf-8"%>   

        24. <%!   

        25.    String userName = "</td><tr></table>";   

        26.    String address = " \" type=\"button";   

        27.  %>   

        28. <table border="1">   

        29.    <tr>   

        30.      <td>姓名:</td><td><%=userName%></td> ①   

        31.    </tr>   

        32.    <tr>   

        33.      <td>年齡:</td><td>28</td>   

        34.    </tr>   

        35. </table>   

        36.  <input value="<%=address%>"  type="text" /> ②   

        37.     

        38.   

        39.   

        40. 在 ① 和 ② 處,我們未經(jīng)任何轉(zhuǎn)義處理就直接將變量輸出到 HTML 網(wǎng)頁(yè)中,由于這些變量可能包含一些特殊的 HTML 的字符,它們將可能破壞整個(gè) HTML 文檔的結(jié)構(gòu)。我們可以從以上 JSP 頁(yè)面的一個(gè)具體輸出中了解這一問(wèn)題:   

        41.   

        42. <table border="1">   

        43.    <tr>   

        44.      <td>姓名:</td><td></td><tr></table></td>    

        45.      ① 破壞了 <table> 的結(jié)構(gòu)   

        46.    </tr>   

        47.    <tr>   

        48.      <td>年齡:</td><td>28</td>   

        49.    </tr>   

        50. </table>   

        51.  <input value=" " type="button"  type="text" />    

        52.  ② 將本來(lái)是輸入框組件偷梁換柱為按鈕組件   

        53.     

        54.   

        55.   

        56. 融合動(dòng)態(tài)數(shù)據(jù)后的 HTML 網(wǎng)頁(yè)已經(jīng)面目全非,首先 ① 處的 <table> 結(jié)構(gòu)被包含 HTML 特殊字符的 userName 變量截?cái)嗔耍斐善浜蟮?nbsp;<table> 代碼變成無(wú)效的內(nèi)容;其次,② 處 <input> 被動(dòng)態(tài)數(shù)據(jù)改換為按鈕類型的組件(type="button")。為了避免這一問(wèn)題,我們需要事先對(duì)可能破壞 HTML 文檔結(jié)構(gòu)的動(dòng)態(tài)數(shù)據(jù)進(jìn)行轉(zhuǎn)義處理。Spring 為我們提供了一個(gè)簡(jiǎn)單適用的 HTML 特殊字符轉(zhuǎn)義工具類,它就是 HtmlUtils。下面,我們通過(guò)一個(gè)簡(jiǎn)單的例子了解 HtmlUtils 的具體用法:   

        57.   

        58.   

        59. 清單 2. HtmpEscapeExample   

        60.                    

        61. package com.baobaotao.escape;   

        62. import org.springframework.web.util.HtmlUtils;   

        63. public class HtmpEscapeExample {   

        64.     public static void main(String[] args) {   

        65.         String specialStr = "<div id=\"testDiv\">test1;test2</div>";   

        66.         String str1 = HtmlUtils.htmlEscape(specialStr); ①轉(zhuǎn)換為HTML轉(zhuǎn)義字符表示   

        67.         System.out.println(str1);   

        68.           

        69.         String str2 = HtmlUtils.htmlEscapeDecimal(specialStr); ②轉(zhuǎn)換為數(shù)據(jù)轉(zhuǎn)義表示   

        70.         System.out.println(str2);   

        71.           

        72.         String str3 = HtmlUtils.htmlEscapeHex(specialStr); ③轉(zhuǎn)換為十六進(jìn)制數(shù)據(jù)轉(zhuǎn)義表示   

        73.         System.out.println(str3);   

        74.           

        75.         ④下面對(duì)轉(zhuǎn)義后字符串進(jìn)行反向操作   

        76.         System.out.println(HtmlUtils.htmlUnescape(str1));   

        77.         System.out.println(HtmlUtils.htmlUnescape(str2));   

        78.         System.out.println(HtmlUtils.htmlUnescape(str3));   

        79.     }   

        80. }   

        81.     

        82.   

        83.   

        84. HTML 不但可以使用通用的轉(zhuǎn)義序列表示 HTML 特殊字符,還可以使用以 # 為前綴的數(shù)字序列表示 HTML 特殊字符,它們?cè)谧罱K的顯示效果上是一樣的。HtmlUtils 提供了三個(gè)轉(zhuǎn)義方法:   

        85.   

        86. 方法 說(shuō)明    

        87. static String htmlEscape(String input)  將 HTML 特殊字符轉(zhuǎn)義為 HTML 通用轉(zhuǎn)義序列;    

        88. static String htmlEscapeDecimal(String input)  將 HTML 特殊字符轉(zhuǎn)義為帶 # 的十進(jìn)制數(shù)據(jù)轉(zhuǎn)義序列;    

        89. static String htmlEscapeHex(String input)  將 HTML 特殊字符轉(zhuǎn)義為帶 # 的十六進(jìn)制數(shù)據(jù)轉(zhuǎn)義序列;    

        90.   

        91. 此外,HtmlUtils 還提供了一個(gè)能夠?qū)⒔?jīng)過(guò)轉(zhuǎn)義內(nèi)容還原的方法:htmlUnescape(String input),它可以還原以上三種轉(zhuǎn)義序列的內(nèi)容。運(yùn)行以上代碼,您將可以看到以下的輸出:   

        92.   

        93. str1:<div id="testDiv">test1;test2</div>   

        94. str2:<div id="testDiv">test1;test2</div>   

        95. str3:<div id="testDiv">test1;test2</div>   

        96. <div id="testDiv">test1;test2</div>   

        97. <div id="testDiv">test1;test2</div>   

        98. <div id="testDiv">test1;test2</div>   

        99.     

        100.   

        101.   

        102. 您只要使用 HtmlUtils 對(duì)代碼 清單 1 的 userName 和 address 進(jìn)行轉(zhuǎn)義處理,最終輸出的 HTML 頁(yè)面就不會(huì)遭受破壞了。   

        103.   

        104. JavaScript 特殊字符轉(zhuǎn)義   

        105.   

        106. JavaScript 中也有一些需要特殊處理的字符,如果直接將它們嵌入 JavaScript 代碼中,JavaScript 程序結(jié)構(gòu)將會(huì)遭受破壞,甚至被嵌入一些惡意的程序。下面列出了需要轉(zhuǎn)義的特殊 JavaScript 字符:   

        107.   

        108. ' :\'    

        109. " :\"    

        110. \ :\\    

        111. 走紙換頁(yè): \f    

        112. 換行:\n    

        113. 換欄符:\t    

        114. 回車:\r    

        115. 回退符:\b    

        116. ?    

        117. 我們通過(guò)一個(gè)具體例子演示動(dòng)態(tài)變量是如何對(duì) JavaScript 程序進(jìn)行破壞的。假設(shè)我們有一個(gè) JavaScript 數(shù)組變量,其元素值通過(guò)一個(gè) Java List 對(duì)象提供,下面是完成這一操作的 JSP 代碼片斷:   

        118.   

        119.   

        120. 清單 3. jsTest.jsp:未對(duì) JavaScript 特殊字符進(jìn)行處理   

        121.                    

        122. <%@ page language="java" contentType="text/html; charset=utf-8"%>   

        123. <jsp:directive.page import="java.util.*"/>   

        124. <%   

        125.   List textList = new ArrayList();   

        126.   textList.add("\";alert();j=\"");   

        127. %>   

        128. <script>   

        129.   var txtList = new Array();   

        130.    <% for ( int i = 0 ; i < textList.size() ; i++) { %>   

        131.      txtList[<%=i%>] = "<%=textList.get(i)%>";    

        132.      ① 未對(duì)可能包含特殊 JavaScript 字符的變量進(jìn)行處理   

        133.    <% } %>   

        134. </script>   

        135.     

        136.   

        137.   

        138. 當(dāng)客戶端調(diào)用這個(gè) JSP 頁(yè)面后,將得到以下的 HTML 輸出頁(yè)面:   

        139.   

        140. <script>   

        141.   var txtList = new Array();   

        142.    txtList[0] = "";alert();j=""; ① 本來(lái)是希望接受一個(gè)字符串,結(jié)果被植入了一段JavaScript代碼   

        143. </script>   

        144.     

        145.   

        146.   

        147. 由于包含 JavaScript 特殊字符的 Java 變量直接合并到 JavaScript 代碼中,我們本來(lái)期望 ① 處所示部分是一個(gè)普通的字符串,但結(jié)果變成了一段 JavaScript 代碼,網(wǎng)頁(yè)將彈出一個(gè) alert 窗口。想像一下如果粗體部分的字符串是“";while(true)alert();j="”時(shí)會(huì)產(chǎn)生什么后果呢?   

        148.   

        149. 因此,如果網(wǎng)頁(yè)中的 JavaScript 代碼需要通過(guò)拼接 Java 變量動(dòng)態(tài)產(chǎn)生時(shí),一般需要對(duì)變量的內(nèi)容進(jìn)行轉(zhuǎn)義處理,可以通過(guò) Spring 的 JavaScriptUtils 完成這件工作。下面,我們使用 JavaScriptUtils 對(duì)以上代碼進(jìn)行改造:   

        150.   

        151. <%@ page language="java" contentType="text/html; charset=utf-8"%>   

        152. <jsp:directive.page import="java.util.*"/>   

        153. <jsp:directive.page import="org.springframework.web.util.JavaScriptUtils"/>   

        154. <%   

        155.   List textList = new ArrayList();   

        156.   textList.add("\";alert();j=\"");   

        157. %>   

        158. <script>   

        159.    var txtList = new Array();   

        160.    <% for ( int i = 0 ; i < textList.size() ; i++) { %>   

        161.    ① 在輸出動(dòng)態(tài)內(nèi)容前事先進(jìn)行轉(zhuǎn)義處理   

        162.    txtList[<%=i%>] = "<%=JavaScriptUtils.javaScriptEscape(""+textList.get(i))%>";   

        163.    <% } %>   

        164. </script>   

        165.     

        166.   

        167.   

        168. 通過(guò)轉(zhuǎn)義處理后,這個(gè) JSP 頁(yè)面輸出的結(jié)果網(wǎng)頁(yè)的 JavaScript 代碼就不會(huì)產(chǎn)生問(wèn)題了:   

        169.   

        170. <script>   

        171.    var txtList = new Array();   

        172.    txtList[0] = "\";alert();j=\"";   

        173.    ① 粗體部分僅是一個(gè)普通的字符串,而非一段 JavaScript 的語(yǔ)句了   

        174. </script>   

        175.     

        176.   

        177.   

        178. SQL特殊字符轉(zhuǎn)義   

        179.   

        180. 應(yīng)該說(shuō),您即使沒(méi)有處理 HTML 或 JavaScript 的特殊字符,也不會(huì)帶來(lái)災(zāi)難性的后果,但是如果不在動(dòng)態(tài)構(gòu)造 SQL 語(yǔ)句時(shí)對(duì)變量中特殊字符進(jìn)行處理,將可能導(dǎo)致程序漏洞、數(shù)據(jù)盜取、數(shù)據(jù)破壞等嚴(yán)重的安全問(wèn)題。網(wǎng)絡(luò)中有大量講解 SQL 注入的文章,感興趣的讀者可以搜索相關(guān)的資料深入研究。   

        181.   

        182. 雖然 SQL 注入的后果很嚴(yán)重,但是只要對(duì)動(dòng)態(tài)構(gòu)造的 SQL 語(yǔ)句的變量進(jìn)行特殊字符轉(zhuǎn)義處理,就可以避免這一問(wèn)題的發(fā)生了。來(lái)看一個(gè)存在安全漏洞的經(jīng)典例子:   

        183.   

        184. SELECT COUNT(userId)    

        185. FROM t_user    

        186. WHERE userName='"+userName+"' AND password ='"+password+"';   

        187.     

        188.   

        189.   

        190. 以上 SQL 語(yǔ)句根據(jù)返回的結(jié)果數(shù)判斷用戶提供的登錄信息是否正確,如果 userName 變量不經(jīng)過(guò)特殊字符轉(zhuǎn)義處理就直接合并到 SQL 語(yǔ)句中,黑客就可以通過(guò)將 userName 設(shè)置為 “1' or '1'='1”繞過(guò)用戶名/密碼的檢查直接進(jìn)入系統(tǒng)了。   

        191.   

        192. 所以除非必要,一般建議通過(guò) PreparedStatement 參數(shù)綁定的方式構(gòu)造動(dòng)態(tài) SQL 語(yǔ)句,因?yàn)檫@種方式可以避免 SQL 注入的潛在安全問(wèn)題。但是往往很難在應(yīng)用中完全避免通過(guò)拼接字符串構(gòu)造動(dòng)態(tài) SQL 語(yǔ)句的方式。為了防止他人使用特殊 SQL 字符破壞 SQL 的語(yǔ)句結(jié)構(gòu)或植入惡意操作,必須在變量拼接到 SQL 語(yǔ)句之前對(duì)其中的特殊字符進(jìn)行轉(zhuǎn)義處理。Spring 并沒(méi)有提供相應(yīng)的工具類,您可以通過(guò) jakarta commons lang 通用類包中(spring/lib/jakarta-commons/commons-lang.jar)的 StringEscapeUtils 完成這一工作:   

        193.   

        194.   

        195. 清單 4. SqlEscapeExample   

        196.                    

        197. package com.baobaotao.escape;   

        198. import org.apache.commons.lang.StringEscapeUtils;   

        199. public class SqlEscapeExample {   

        200.     public static void main(String[] args) {   

        201.         String userName = "1' or '1'='1";   

        202.         String password = "123456";   

        203.         userName = StringEscapeUtils.escapeSql(userName);   

        204.         password = StringEscapeUtils.escapeSql(password);   

        205.         String sql = "SELECT COUNT(userId) FROM t_user WHERE userName='"  

        206.             + userName + "' AND password ='" + password + "'";   

        207.         System.out.println(sql);   

        208.     }   

        209. }   

        210.     

        211.   

        212.   

        213. 事實(shí)上,StringEscapeUtils 不但提供了 SQL 特殊字符轉(zhuǎn)義處理的功能,還提供了 HTML、XML、JavaScript、Java 特殊字符的轉(zhuǎn)義和還原的方法。如果您不介意引入 jakarta commons lang 類包,我們更推薦您使用 StringEscapeUtils 工具類完成特殊字符轉(zhuǎn)義處理的工作。    
          214. 

          

		
          
			posted on 2011-01-24 14:16 鴻雁 閱讀(3854) 評(píng)論(0)  編輯  收藏  所屬分類: IT技術(shù)相關(guān) 
		
          
	
          
	
	


	


          
	    
    




          








          

				

          




    







          
        
	




主站蜘蛛池模板:
洪雅县|
兴国县|
小金县|
汉中市|
赫章县|
贵溪市|
大竹县|
抚松县|
莲花县|
武城县|
嘉义市|
富阳市|
和林格尔县|
健康|
额敏县|
邹城市|
苍梧县|
扶绥县|
十堰市|
宁海县|
大兴区|
噶尔县|
湘潭县|
无极县|
乌兰县|
聂拉木县|
南澳县|
江阴市|
阿图什市|
麻城市|
宾川县|
铁力市|
道孚县|
阿坝|
灯塔市|
平江县|
富顺县|
云浮市|
娄底市|
杂多县|
丹凤县|