Java中过滤特殊字符的方法大家都知道replace(),但是经过过滤器后传递的参数到达Action后,经request取得后还是原本网页输入的内容,不是我们修改param参数后的值。
//循环读取参数
while (params.hasMoreElements()){
param = (String) params.nextElement(); //获取请求中的参数
String[] values = servletrequest.getParameterValues(param);//获得每个参数对应的值
for (int i = 0; i < values.length; i++) {
System.out.println("values[i] = "+values[i]);
paramValue = values[i];
//转换目标字符变成对象字符,可以多个。后期扩展特殊字符库用于管理
paramValue = paramValue.replaceAll("'","");
paramValue = paramValue.replaceAll("@","");
paramValue = paramValue.replaceAll("孙悟空","***");
//这里还可以增加,如领导人 自动转义成****,可以从数据库中读取非法关键字。
values[i] = paramValue;
}
//把转义后的参数重新放回request中
request.setAttribute(param, paramValue);
}
//假设我页面输入:孙悟空
/****Action 中调试代码******/
String Parameterusername=request.getParameter("username");
String Attributeusername=(String) request.getAttribute("username");
System.out.println("Parameterusername"+Parameterusername);//输出孙悟空,不是我们想要的。
System.out.println("Attributeusername"+Attributeusername);//输出****,这才是我们想要的结果。
所以我们必须改变param的值才对,更简明的说就是Java如果提供了setparamvalue的方法就好了,
后来API中提供了HttpServletRequestWrapper类,我们可以覆盖父类的方法MyRequestWrapper.java,
然后最后过滤chain.doFilter(new MyRequestWrapper((HttpServletRequest) request), response);
再测试就可以看到Parameterusername和Attributeusername都会输出****
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/14011.html