Java中关于项目安全处理的方法分享

黄舟

发布时间：2017-09-19 10:40:33

2277人浏览过

来源于php中文网

原创

这篇文章主要介绍了java项目安全处理方法，url中参数显示,sql拼接问题,需要的朋友可以参考下

一、URL中参数显示问题，解决方案：

1、普通Get请求修改为Post请求

2、参数加密（js加密，Java解密）

二、Mybatis模糊查询中，sql拼接问题，解决方案方案：

立即学习“Java免费学习笔记（深入）”；

1、使用安全的符号和方法，xml中拼接示例：


  state in 
  
    #{stateList[${index}]}
  


    and title like concat('%',#{title},'%')

2、Java中转义特殊字符，Java中字符处理示例：

SuperCms在线订餐系统

模板采用响应式设计，自动适应手机，电脑及平板显示；满足单一店铺外卖需求。功能：1.菜单分类管理2.菜品管理：菜品增加，删除，修改3.订单管理4.友情链接管理5.数据库备份6.文章模块：如：促销活动，帮助中心7.单页模块：如：企业信息，关于我们更强大的功能在开发中……安装方法：上传到网站根目录，运行http://www.***.com/install 自动

下载

param = param.replace("%", "\\%");
param = param.replace("_", "\\_");
param = param.replace(",", "\\,");
param = param.replace("'", "\\'");
param = param.replace("/", "//");
param = param.replace("\\", \\\\);

三、文件上传安全问题

解决方案：判断文件名、请求ContentType和文件头内容。

文件头内容判断：

常见文件类型识别

常用文件的头信息： 
JPEG (jpg)，文件头：FFD8FFE1 
PNG (png)，文件头：89504E47 
GIF (gif)，文件头：47494638
TIFF (tif)，文件头：49492A00 
Windows Bitmap (bmp)，文件头：424D 
CAD (dwg)，文件头：41433130
Adobe Photoshop (psd)，文件头：38425053
Rich Text Format (rtf)，文件头：7B5C727466 
XML (xml)，文件头：3C3F786D6C 
HTML (html)，文件头：68746D6C3E 
Email [thorough only] (eml)，文件头：44656C69766572792D646174653A 
Outlook Express (dbx)，文件头：CFAD12FEC5FD746F 
Outlook (pst)，文件头：2142444E 
MS Word/Excel (xls.or.doc)，文件头：D0CF11E0 
MS Access (mdb)，文件头：5374616E64617264204A 
WordPerfect (wpd)，文件头：FF575043 
Postscript (eps.or.ps)，文件头：252150532D41646F6265 
Adobe Acrobat (pdf)，文件头：255044462D312E 
Quicken (qdf)，文件头：AC9EBD8F 
Windows Password (pwl)，文件头：E3828596 
ZIP Archive (zip)，文件头：504B0304 
RAR Archive (rar)，文件头：52617221
Wave (wav)，文件头：57415645
AVI (avi)，文件头：41564920
Real Audio (ram)，文件头：2E7261FD 
Real Media (rm)，文件头：2E524D46 
MPEG (mpg)，文件头：000001BA 
MPEG (mpg)，文件头：000001B3 
Quicktime (mov)，文件头：6D6F6F76 
Windows Media (asf)，文件头：3026B2758E66CF11 
MIDI (mid)，文件头：4D546864

java附件上传时后台验证上传文件的合法性

public static Map mFileTypes = new HashMap();
static {
    // imagesFFD8FFE1
    mFileTypes.put("FFD8FFE1", ".jpg");
    mFileTypes.put("FFD8FFE0", ".jpg");
    mFileTypes.put("89504E47", ".png");
    mFileTypes.put("47494638", ".gif");
    mFileTypes.put("49492A00", ".tif");
    mFileTypes.put("424D", ".bmp");
    // 办公文档类
    mFileTypes.put("D0CF11E0", ".doc"); // ppt、doc、xls
    mFileTypes.put("504B0304", ".docx"); // pptx、docx、xlsx
    /** 注意由于文本文档录入内容过多，则读取文件头时较为多变-START **/
    mFileTypes.put("0D0A0D0A", ".txt"); // txt
    mFileTypes.put("0D0A2D2D", ".txt"); // txt
    mFileTypes.put("0D0AB4B4", ".txt"); // txt
    mFileTypes.put("B4B4BDA8", ".txt"); // 文件头部为汉字
    mFileTypes.put("73646673", ".txt"); // txt,文件头部为英文字母
    mFileTypes.put("32323232", ".txt"); // txt,文件头部内容为数字
    mFileTypes.put("0D0A09B4", ".txt"); // txt,文件头部内容为数字
    mFileTypes.put("3132330D", ".txt"); // txt,文件头部内容为数字
    /** 注意由于文本文档录入内容过多，则读取文件头时较为多变-END **/
    mFileTypes.put("25504446", ".pdf");
    mFileTypes.put("255044462D312E", ".pdf");
    // 压缩包
    mFileTypes.put("52617221", ".rar");
    mFileTypes.put("1F8B08", ".gz");
}
/**
    * 判断上传的文件是否合法
    * 
    * @param file
    *            文件
    * @param contentType
    *            是否指定类型
    * @param typeStr
    *            文件类型后缀名(.jpg,.png,.gif,.jpeg)
    * @return
    */
public Boolean checkFileIllegal(MultipartFile file, String fileName, String typeStr) {
    if (!file.isEmpty()) {
        if (StringUtils.isNotBlank(file.getContentType())) {
            String type = null;
            try {
                type = getFileType(file.getInputStream());
            } catch (IOException e) {
            logger.error("checkFileIllegal->getFileType->error:" + e.getMessage());
            return false;
        }
        if (null != type && -1 != typeStr.indexOf(type)) {
            int index = fileName.lastIndexOf(".");
            if (StringUtils.isNotBlank(fileName) && -1 != index) {
                String fileType = fileName.substring(index).toLowerCase();
                if (-1 != typeStr.indexOf(fileType)) {
                    return true;
                    }
                }
            }
        }
    }
    return false;
}
/**
 * 根据文件的输入流获取文件头信息
 * @return 文件头信息
 */
public static String getFileType(InputStream is) {
    byte[] b = new byte[4];
    if (is != null) {
        try {
            is.read(b, 0, b.length);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    return mFileTypes.get(getFileHeader(b));
}

总结

JSON 无法正确反序列化为 Java POJO 对象的常见原因及解决方案

如何在函数中动态创建并管理多个类实例以实现跨调用数据比较

如何在 macOS 上正确运行 Java TCP 服务器/客户端通信程序

Java中调用自定义栈底插入方法的正确方式

JSON 数据无法正确反序列化为 Java POJO 对象

java速学教程(入门到精通)

java怎么学习？java怎么入门？java在哪学？java怎么学才快？不用担心，这里为大家提供了java速学教程(入门到精通)，有需要的小伙伴保存下载就能学习啦！

下载

相关专题

java入门学习合集

本专题整合了java入门学习指南、初学者项目实战、入门到精通等等内容，阅读专题下面的文章了解更多详细学习方法。

2026.01.29

java配置环境变量教程合集

本专题整合了java配置环境变量设置、步骤、安装jdk、避免冲突等等相关内容，阅读专题下面的文章了解更多详细操作。

2026.01.29

java成品学习网站推荐大全

本专题整合了java成品网站、在线成品网站源码、源码入口等等相关内容，阅读专题下面的文章了解更多详细推荐内容。

2026.01.29

Java字符串处理使用教程合集

本专题整合了Java字符串截取、处理、使用、实战等等教程内容，阅读专题下面的文章了解详细操作教程。

2026.01.29

Java空对象相关教程合集

本专题整合了Java空对象相关教程，阅读专题下面的文章了解更多详细内容。

2026.01.29

clawdbot ai使用教程保姆级clawdbot部署安装手册

Clawdbot是一个“有灵魂”的AI助手，可以帮用户清空收件箱、发送电子邮件、管理日历、办理航班值机等等，并且可以接入用户常用的任何聊天APP，所有的操作均可通过WhatsApp、Telegram等平台完成，用户只需通过对话，就能操控设备自动执行各类任务。

2026.01.29

clawdbot龙虾机器人官网入口 clawdbot ai官方网站地址

clawdbot龙虾机器人官网入口:https://clawd.bot/,clawdbot ai是一个“有灵魂”的AI助手，可以帮用户清空收件箱、发送电子邮件、管理日历、办理航班值机等等，并且可以接入用户常用的任何聊天APP，所有的操作均可通过WhatsApp、Telegram等平台完成，用户只需通过对话，就能操控设备自动执行各类任务。

2026.01.29

Golang 网络安全与加密实战

本专题系统讲解 Golang 在网络安全与加密技术中的应用，包括对称加密与非对称加密（AES、RSA）、哈希与数字签名、JWT身份认证、SSL/TLS 安全通信、常见网络攻击防范（如SQL注入、XSS、CSRF）及其防护措施。通过实战案例，帮助学习者掌握如何使用 Go 语言保障网络通信的安全性，保护用户数据与隐私。

2026.01.29