Spring的优秀工具类盘点，第2部分: 特殊字符转义和方法入参检测工具类 - 编程入门网

作者佚名技术来源 NET编程浏览发布时间 2012-07-04

提供的登录信息是否正确，如果 userName 变量不经过特殊字符转义处理就直接合并到 SQL 语句中，黑客就可以通过将 userName 设置为 “1'' or ''1''=''1”绕过用户名/密码的检查直接进入系统了。

所以除非必要，一般建议通过 PreparedStatement 参数绑定的方式构造动态 SQL 语句，因为这种方式可以避免 SQL 注入的潜在安全问题。但是往往很难在应用中完全避免通过拼接字符串构造动态 SQL 语句的方式。为了防止他人使用特殊 SQL 字符破坏 SQL 的语句结构或植入恶意操作，必须在变量拼接到 SQL 语句之前对其中的特殊字符进行转义处理。Spring 并没有提供相应的工具类，您可以通过 jakarta commons lang 通用类包中（spring/lib/jakarta-commons/commons-lang.jar）的 StringEscapeUtils 完成这一工作：

清单 4. SqlEscapeExample

package com.baobaotao.escape; import org.apache.commons.lang.StringEscapeUtils; public class SqlEscapeExample { 　　public static void main(String[] args) { 　　　　String userName = "1'' or ''1''=''1"; 　　　　String password = "123456"; 　　　　userName = StringEscapeUtils.escapeSql(userName); 　　　　password = StringEscapeUtils.escapeSql(password); 　　　　String sql = "SELECT COUNT(userId) FROM t_user WHERE userName=''" 　　　　　　+ userName + "'' AND password =''" + password + "''"; 　　　　System.out.println(sql); 　　} }

Spring的优秀工具类盘点，第2部分: 特殊字符转义和方法入参检测工具类(5)

时间:2011-02-06 IBM 陈雄华

事实上，StringEscapeUtils 不但提供了 SQL 特殊字符转义处理的功能，还提供了 HTML、XML、JavaScript、Java 特殊字符的转义和还原的方法。如果您不介意引入 jakarta commons lang 类包，我们更推荐您使用 StringEscapeUtils 工具类完成特殊字符转义处理的工作。

方法入参检测工具类

Web 应用在接受表单提交的数据后都需要对其进行合法性检查，如果表单数据不合法，请求将被驳回。类似的，当我们在编写类的方法时，也常常需要对方法入参进行合法性检查，如果入参不符合要求，方法将通过抛出异常的方式拒绝后续处理。举一个例子：有一个根据文件名获取输入流的方法：InputStream getData(String file)，为了使方法能够成功执行，必须保证 file 入参不能为 null 或空白字符，否则根本无须进行后继的处理。这时方法的编写者通常会在方法体的最前面编写一段对入参进行检测的代码，如下所示：

public InputStream getData(String file) { 　　if (file == null || file.length() == 0|| file.replaceAll("\\s", "").length() == 0) { 　　　　throw new IllegalArgumentException("file入参不是有效的文件地址"); 　　} … }

类似以上检测方法入参的代码是非常常见，但是在每个方法中都使用手工编写检测逻辑的方式并不是一个好主意。阅读 Spring 源码，您会发现 Spring 采用一个 org.springframework.util.Assert 通用类完成这一任务。

Assert 翻译为中文为“断言”，使用过 JUnit 的读者都熟知这个概念，它断定某一个实际的运行值和预期想一样，否则就抛出异常。Spring 对方法入参的检测借用了这个概念，其提供的 Assert 类拥有众多按规则对方法入参进行断言的方法，可以满足大部分方法入参检测的要求。这些断言方法在入参不满足要求时就会抛出 IllegalArgumentException。下面，我们来认识一下 Assert 类中的常用断言方法：

断言方法	说明
notNull(Object object)	当 object 不为 null 时抛出异常，notNull(Object object, String message) 方法允许您通过 message 定制异常信息。和 notNull() 方法断言规则相反的方法是 isNull(Object object)/isNull(Object object, String message)，它要求入参一定是 null；
isTrue(boolean expression) / isTrue(boolean expression, String message)	当 expression 不为 true 抛出异常；
notEmpty(Collection collection) / notEmpty(Collection collection, String message)	当集合未包含元素时抛出异常。notEmpty(Map map) / notEmpty(Map map, String message) 和 notEmpty(Object[] array, String message) / notEmpty(Object[] array, String message) 分别对 Map 和 Object[] 类型的入参进行判断；
hasLength(String text) / hasLength(String text, String message)	当 text 为 null 或长度为 0 时抛出异常；
hasText(String text) / hasText(String text, String message)	text 不能为 null 且必须至少包含一个非空格的字符，否则抛出异常；
isInstanceOf(Class clazz, Object obj) / isInstanceOf(Class type, Object obj, String message)	如果 obj 不能被正确造型为 clazz 指定的类将抛出异常；
isAssignable(Class superType, Class subType) / isAssignable(Class superType, Class subType, String message)	subType 必须可以按类型匹配于 superType，否则将抛出异常；

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

分享到：更多

你可能对下面的文章感兴趣

上一篇: 检验EJB 3.0 简化API规范 - 编程入门网下一篇: 在Apache Geronimo上开发和部署Apache Pluto门户应用程序 - 编程入门网

关于Spring的优秀工具类盘点，第2部分: 特殊字符转义和方法入参检测工具类 - 编程入门网的所有评论

随机推荐