91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

java輸入校驗的方法是什么

發布時間:2021-11-24 15:52:20 來源:億速云 閱讀:296 作者:iii 欄目:大數據

這篇文章主要講解了“java輸入校驗的方法是什么”,文中的講解內容簡單清晰,易于學習與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學習“java輸入校驗的方法是什么”吧!

在字符串標準化之后進行校驗

通常我們在進行字符串校驗的時候需要對一些特殊字符進行過濾,過濾之后再進行字符串的校驗。

我們知道在java中字符是基于Unicode進行編碼的。但是在Unicode中,同一個字符可能有不同的表示形式。所以我們需要對字符進行標準化。

java中有一個專門的類Normalizer來負責處理,字符標準化的問題。

我們看下面一個例子:

    public void testNormalizer(){
        System.out.println(Normalizer.normalize("\u00C1", Normalizer.Form.NFKC));
        System.out.println(Normalizer.normalize("\u0041\u0301", Normalizer.Form.NFKC));
    }

輸出結果:

á
á

我們可以看到,雖然兩者的Unicode不一樣,但是最終表示的字符是一樣的。所以我們在進行字符驗證的時候,一定要先進行normalize處理。

考慮下面的例子:

    public void falseNormalize(){
        String s = "\uFE64" + "script" + "\uFE65";
        Pattern pattern = Pattern.compile("[<>]"); // 檢查是否有尖括號
        Matcher matcher = pattern.matcher(s);
        if (matcher.find()) {
            throw new IllegalStateException();
        }
        s = Normalizer.normalize(s, Normalizer.Form.NFKC);
    }

其中\uFE64表示的是<,而\uFE65表示的是>,程序的本意是判斷輸入的字符串是否包含了尖括號,但是因為直接傳入的是unicode字符,所以直接compile是檢測不到的。

我們需要對代碼進行下面的改動:

    public void trueNormalize(){
        String s = "\uFE64" + "script" + "\uFE65";
        s = Normalizer.normalize(s, Normalizer.Form.NFKC);
        Pattern pattern = Pattern.compile("[<>]"); // 檢查是否有尖括號
        Matcher matcher = pattern.matcher(s);
        if (matcher.find()) {
            throw new IllegalStateException();
        }
    }

先進行normalize操作,然后再進行字符驗證。

注意不可信字符串的格式化

我們經常會使用到格式化來對字符串進行格式化,在格式化的時候如果格式化字符串里面帶有用戶輸入信息,那么我們就要注意了。

看下面的例子:

    public void wrongFormat(){
        Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27);
        String input=" %1$tm";
        System.out.format(input + " 時間不匹配,應該是某個月的第 %1$terd 天", c);
    }

粗看一下沒什么問題,但是我們的input中包含了格式化信息,最后輸出結果:

 07 時間不匹配,應該是某個月的第 27rd 天

變相的,我們獲取到了系統內部的信息,在某些情況下面,可能會暴露系統的內部邏輯。

上面的例子我們應該將input也作為一個參數,如下所示:

    public void rightFormat(){
        Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27);
        String input=" %1$tm";
        System.out.format("%s 時間不匹配,應該是某個月的第 %terd 天",input, c);
    }

輸出結果:

 %1$tm 時間不匹配,應該是某個月的第 27rd 天

小心使用Runtime.exec()

我們知道Runtime.exec()使用來調用系統命令的,如果有惡意的用戶調用了“rm -rf /”,一切的一切都完蛋了。

所以,我們在調用Runtime.exec()的時候,一定要小心注意檢測用戶的輸入。

看下面的一個例子:

    public void wrongExec() throws IOException {
        String dir = System.getProperty("dir");
        Runtime rt = Runtime.getRuntime();
        Process proc = rt.exec(new String[] {"sh", "-c", "ls " + dir});
    }

上面的例子中,我們從系統屬性中讀取dir,然后執行了系統的ls命令來查看dir中的內容。

如果有惡意用戶給dir賦值成:

/usr & rm -rf /

那么系統實際上執行的命令就是:

sh -c 'ls /usr & rm -rf /'

從而導致惡意的刪除。

解決上面的問題也有幾個方法,第一個方法就是對輸入做個校驗,比如我們只運行dir包含特定的字符:

    public void correctExec1() throws IOException {
        String dir = System.getProperty("dir");
        if (!Pattern.matches("[0-9A-Za-z[@.](https://my.oschina.net/sakkeil)]+", dir)) {
            // Handle error
        }
        Runtime rt = Runtime.getRuntime();
        Process proc = rt.exec(new String[] {"sh", "-c", "ls " + dir});
    }

第二種方法就是使用switch語句,限定特定的輸入:

    public void correctExec2(){
        String dir = System.getProperty("dir");
        switch (dir){
            case "/usr":
                System.out.println("/usr");
                break;
            case "/local":
                System.out.println("/local");
                break;
            default:
                break;
        }
    }

還有一種就是不使用Runtime.exec()方法,而是使用java自帶的方法。

正則表達式的匹配

在正則表達式的構建過程中,如果使用用戶自定義輸入,同樣的也需要進行輸入校驗。

考慮下面的正則表達式:

(.*? +public\[\d+\] +.*<SEARCHTEXT>.*)

上面的表達式本意是想在public[1234]這樣的日志信息中,搜索用戶的輸入。

但是用戶實際上可以輸入下面的信息:

.*)|(.*

最終導致正則表達式變成下面的樣子:

(.*? +public\[\d+\] +.*.*)|(.*.*)

從而導致匹配所有的日志信息。

解決方法也有兩個,一個是使用白名單,判斷用戶的輸入。一個是使用Pattern.quote()來對惡意字符進行轉義。

感謝各位的閱讀,以上就是“java輸入校驗的方法是什么”的內容了,經過本文的學習后,相信大家對java輸入校驗的方法是什么這一問題有了更深刻的體會,具體使用情況還需要大家實踐驗證。這里是億速云,小編將為大家推送更多相關知識點的文章,歡迎關注!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

班戈县| 六枝特区| 镇沅| 鄂州市| 汨罗市| 淮安市| 平果县| 临潭县| 高要市| 祁门县| 自治县| 隆安县| 东乌| 永新县| 汽车| 延吉市| 景泰县| 诸暨市| 南召县| 府谷县| 邢台市| 长白| 库车县| 达拉特旗| 崇仁县| 萝北县| 茌平县| 甘南县| 无极县| 中超| 元谋县| 沾化县| 汾阳市| 丰宁| 淮滨县| 齐齐哈尔市| 防城港市| 扶余县| 承德县| 乐山市| 绥棱县|