目录:

1、生成安全随机数

2、密码安全存储

3、文件上传

4、SQL注入

5、HMAC-SHA256

一、生成安全随机数

用于生成会话sessionid、防CSRF时的token、以及其他场景下的veritycode。

如下代码:生成安全随机数

package net.xdclass.demo;

import java.security.SecureRandom;

/**

 * 使用安全随机数生成器生成24byte的随机数

 */

public class OtherTest {

    public static StringBuilder createToken(){

        SecureRandom random = new SecureRandom();

        byte bytes[] =  new byte[24];

        random.nextBytes(bytes);

        StringBuilder  token = new StringBuilder();

        String hv;

        for (int i=0;i<bytes.length;i++){

            int j = bytes[i] & 0xFF;

            hv = Integer.toHexString(j);

            if (hv.length()==1){

                hv = "0"+hv;

            }

            token.append(hv);

        }

        return token;

    }

    public static  void  main(String[] args){

        System.out.println(createToken());

        System.out.println(createToken().length());

    }

}

二、密码安全存储

  • 禁止使用MD5、SHA1不安全哈希算法
  • 可以使用SHA256+salt,salt随机生成,salt长度不低于8byte,每个用户的salt不一样,salt存数据库
  • 强烈建议使用PBKDF2秘钥推到函数,安全存储用户密码

如下代码:PBKDF2存储密码DEMO

package net.xdclass.demo;

import javax.crypto.SecretKeyFactory;

import javax.crypto.spec.PBEKeySpec;

import java.security.NoSuchAlgorithmException;

import java.security.SecureRandom;

import java.security.spec.InvalidKeySpecException;

import java.sql.Array;

/**

 * 使用PBKDF2生成不可逆的密码

 * DK = PBKDF2(PRF, Password, Salt, c, dkLen)

 * * PRF是一个伪随机函数,例如HASH_HMAC函数,它会输出长度为hLen的结果。

 * * Password是用来生成密钥的原文密码。

 * * Salt是一个加密用的盐值。

 * * c是进行重复计算的次数。

 * * dkLen是期望得到的密钥的长度。

 * * DK是最后产生的密钥。

 */

public class OtherTest {

    public static StringBuilder savePassword(String password)throws NoSuchAlgorithmException, InvalidKeySpecException {

        SecureRandom random = new SecureRandom();

        byte salt[] =  new byte[24];

        random.nextBytes(salt);

        int iterCount=5000;//迭代次数不低于5000次

        char[] charPassword = password.toCharArray();

        PBEKeySpec pbeKeySpec = new PBEKeySpec(charPassword,salt,iterCount,256);

        SecretKeyFactory secretKeyFactory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");

        byte[] hashpassword = secretKeyFactory.generateSecret(pbeKeySpec).getEncoded();

        StringBuilder  finalPassword = new StringBuilder();

        String hv;

        for (int i=0;i<hashpassword.length;i++){

            int j = hashpassword[i] & 0xFF;

            hv = Integer.toHexString(j);

            if (hv.length()==1){

                hv = "0"+hv;

            }

            finalPassword.append(hv);

            }

        return finalPassword;

    }

    public static  void  main(String[] args) throws NoSuchAlgorithmException,InvalidKeySpecException {

        System.out.println(savePassword("123456"));

    }

}

三、文件上传

  • 服务端通过白名单限制上传的文件类型
  • 限制文件的大小
  • 限制文件保存的目录,禁止执行权限
  • 压缩包需要考虑解压后大小、文件名是否包含目录跳转字符
  • 对上传的文件重命名,上传的路径禁止返回客户端

如下代码:获取文件类型,并判断文件名是否包含空格DEMO

package net.xdclass.demo;

import java.io.File;

/**

 * 获取上传文件的文件类型,并判断文件名是否包含空

 */

public class OtherTest {

    public static  void  main(String[] args) {

        //取上传文件的文件名

        String path="D:\\MyDocument\\3-java\\2-Code\\demo.java";

        File file  = new File(path);

        String fileName = file.getName();

        StringBuilder finalFileName = new StringBuilder();

        //去除文件名中的空字符

        for (int i=0;i<fileName.length();i++){

            if ('\u0000' != fileName.charAt(i)){

                finalFileName.append(fileName.charAt(i));

            }

        }

        int i = finalFileName.lastIndexOf(".");

        String fileExtension = finalFileName.substring(i+1);

        System.out.println(fileExtension);

    }

}

四、SQL注入

防范SQL注入的方法:

  • 预编译
  • 对不可信的数据进行处理
  • 对不可信的数据进行编码

如下代码:通过预编译的方式防范SQL注入漏洞

1、错误示例,拼接SQL语句,导致存在SQL注入漏洞

package Eleven;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.ResultSet;

import java.sql.Statement;

import java.sql.*;

public class OtherTest {

    public static void main(String[] args)  throws  ClassNotFoundException, SQLException  {

        Class.forName("com.mysql.cj.jdbc.Driver");

        Connection conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/user_info?serverTimezone=UTC", "root", "123456");

        Statement stmt = null;

        ResultSet rsSet = null;

        String userName = "Eleven' or '1'='1'-- ";  //拼接一个用户名,形成万能查询

        String userPassword = "123456";

        String sqlString = "select * from user where name = '" + userName +"' AND password = '" + userPassword + "'"; // 变量未经处理直接与SQL语句拼接在一起

        stmt = conn.createStatement();

        rsSet = stmt.executeQuery(sqlString);

        while(rsSet.next()) {

            String name = rsSet.getString("name");

            String password = rsSet.getString("password");

            System.out.println(name+" "+password);  //输出结果为数据库所有的用户名密码。

        }

    }

}

2、正确示例

package Eleven;

import java.sql.*;

public class Test {

    public static void main(String[] args) throws  ClassNotFoundException, SQLException {

        Class.forName("com.mysql.cj.jdbc.Driver");

        Connection conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/user_info?serverTimezone=UTC", "root", "123456");

        String userName="Eleven";

        String userPwd="123456";

        String sql = " SELECT * FROM `user` WHERE name=? and password=? ";

        PreparedStatement pstate = conn.prepareStatement(sql);

        pstate.setString(1, userName);

        pstate.setString(2, userPwd);

        ResultSet rsSet = pstate.executeQuery();

        while(rsSet.next()) {

            String name = rsSet.getString("name");

            String password = rsSet.getString("password");

            System.out.println(name+" "+password);

        }

        rsSet.close();

        pstate.cancel();

        conn.close();

    }

}

五、HMAC-SHA256

import javax.crypto.Mac;

import javax.crypto.spec.SecretKeySpec;

public class Sha256_mac {

    public static String sha256_mac(String message,String key){

        String outPut= null;

        try{

            Mac sha256_HMAC = Mac.getInstance("HmacSHA256");

            SecretKeySpec secret_key = new SecretKeySpec(key.getBytes(),"HmacSHA256");

            sha256_HMAC.init(secret_key);

            byte[] bytes = sha256_HMAC.doFinal(message.getBytes());

            outPut = byteArrayToHexString(bytes);

        }catch (Exception e){

            System.out.println("Error HmacSHA256========"+e.getMessage());

        }

        return outPut;

    }

    public static String byteArrayToHexString(byte[] b) {

        StringBuilder sb = new StringBuilder();

        String stmp;

        for (int n = 0; b != null && n < b.length; n++) {

            stmp = Integer.toHexString(b[n] & 0XFF);

            if (stmp.length() == 1)

                sb.append('0');

            sb.append(stmp);

        }

        return sb.toString().toLowerCase();

    }

}

六、

七、

web安全编码Demo的更多相关文章

  1. Nginx + FastCGI 程序(C/C++)搭建高性能web service的demo

    http://blog.csdn.net/chdhust/article/details/42645313 Nginx + FastCGI 程序(C/C++)搭建高性能web service的Demo ...

  2. 解析WEB开发编码问题

    解析WEB开发编码问题 URL: http://tcking.javaeye.com/blog/726643 在进行web开发的时候经常会遇到乱码的问题,乱码一般出现在: 1.写在jsp文件中的中文变 ...

  3. Web Service学习-CXF开发Web Service实例demo(一)

    Web Service是什么? Web Service不是框架.更甚至不是一种技术. 而是一种跨平台,跨语言的规范 Web Service解决什么问题: 为了解决不同平台,不同语言所编写的应用之间怎样 ...

  4. C# -- WebClient自动获取web页面编码并转换

    C# -- WebClient自动获取web页面编码并转换 抽个时间,写篇小文章,最近有个朋友,用vb开发一个工具,遇到WebClient获取的内容出现乱码,可惜对vb不是很熟悉,看了几分钟vb的语法 ...

  5. Nginx + FastCGI 程序(C/C++) 搭建高性能web service的Demo及部署发布

       FastCGI编程包括四部分:初始化编码.接收请求循环.响应内容.响应结束循环. FCGX_Request request; FCGX_Init(); ); FCGX_InitRequest(& ...

  6. 【入门篇】Nginx + FastCGI 程序(C/C++) 搭建高性能web service的Demo及部署发布

    http://blog.csdn.net/allenlinrui/article/details/19419721 1.介绍     Nginx - 高性能web server,这个不用多说了,大家都 ...

  7. 不可小觑的Web开发编码规范

    http://www.csdn.net/article/2013-10-21/2817235-coding-conventions-in-web-development 摘要:编码规范是一套规章制度, ...

  8. WEB前端 [编码] 规则浅析

    前言 说到前端安全问题,首先想到的无疑是XSS(Cross Site Scripting,即跨站脚本),其主要发生在目标网站中目标用户的浏览器层面上,当用户浏览器渲染整个HTML文档的过程中出现了不被 ...

  9. Web Service简单demo

    最近开发因需求要求需要提供Web Service接口供外部调用,由于之前没有研究过该技术,故查阅资料研究了一番,所以写下来记录一下,方便后续使用. 这个demo采用CXF框架进行开发,后续所提到的We ...

随机推荐

  1. git使用cherry-pick和revert抢救错误代码提交

    大多数的新手在新接触git时都会出现这样的问题.代码写完了,提交到dev分支进行测试.一高兴忘记切回来,继续在dev分支开发,写完之后提交时猛的发现,我靠,我怎么在dev上面写代码,此时内心必然是一阵 ...

  2. VMware 中安装kvm虚拟机

    环境准备: 安装vmware时需要自定义安装-开启虚拟化技术   安装成功之后就可以继续进行了. 1 查看CPU是否支持KVM egrep 'vmx|svm' /proc/cpuinfo --colo ...

  3. 七道常见的Redis面试题分享(含个人解答)

    绝大部分写业务的程序员,在实际开发中使用 Redis 的时候,只会 Set Value 和 Get Value 两个操作,对 Redis 整体缺乏一个认知.这里以面试题的形式对 Redis 常见问题做 ...

  4. 后端必备的 Git 分支开发规范指南 转

    原文链接 作者:稻草叔叔 http://juejin.im/post/5b4328bbf265da0fa21a6820 点击上方 "后端技术精选",选择 "置顶公众号&q ...

  5. lego loam 跑镭神32线激光雷达

    师弟反应镭神32线激光雷达(32C)录制的数据包不能跑lego loam,这里就总结一下. 首先lego loam默认的接受的topic name是velodyne_points,点云的frame_i ...

  6. Linux命令行基本数据库语句

    -- 数据库的操作 -- 链接数据库 mysql -uroot -p mysql -uroot -pmysql -- 退出数据库 exit/quit/ctrl+d -- sql语句最后需要有分号;结尾 ...

  7. flink KMeans算法实现

    更正:之前发的有两个错误. 1.K均值聚类算法 百度解释:k均值聚类算法(k-means clustering algorithm)是一种迭代求解的聚类分析算法,其步骤是随机选取K个对象作为初始的聚类 ...

  8. django更换ORM连接处理(连接池)转

    1 概述 在使用 Django 进行 Web 开发时, 我们避免不了与数据库打交道. 当并发量低的时候, 不会有任何问题. 但一旦并发量达到一定数量, 就会导致 数据库的连接数会被瞬时占满. 这将导致 ...

  9. SVN Log命令常用组合【转】

    转自:https://blog.csdn.net/xuanwenchao/article/details/8875103 版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请 ...

  10. Python列表操作与深浅拷贝(6)——列表索引、查询、修改、扩展

    列表list定义 L1 = [] L2 = [1,2,'abc'] L3 = list() L4 = list(range(5)) L5 = [1,'abc',True,None,[4,5,'abc' ...