java輸入校驗的方法是什么

這篇文章主要講解了“java輸入校驗的方法是什么”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“java輸入校驗的方法是什么”吧！

在字符串標準化之后進行校驗

通常我們在進行字符串校驗的時候需要對一些特殊字符進行過濾，過濾之后再進行字符串的校驗。

我們知道在java中字符是基于Unicode進行編碼的。但是在Unicode中，同一個字符可能有不同的表示形式。所以我們需要對字符進行標準化。

java中有一個專門的類Normalizer來負責處理，字符標準化的問題。

我們看下面一個例子：

    public void testNormalizer(){
        System.out.println(Normalizer.normalize("\u00C1", Normalizer.Form.NFKC));
        System.out.println(Normalizer.normalize("\u0041\u0301", Normalizer.Form.NFKC));
    }

輸出結果：

á
á

我們可以看到，雖然兩者的Unicode不一樣，但是最終表示的字符是一樣的。所以我們在進行字符驗證的時候，一定要先進行normalize處理。

考慮下面的例子：

    public void falseNormalize(){
        String s = "\uFE64" + "script" + "\uFE65";
        Pattern pattern = Pattern.compile("[<>]"); // 檢查是否有尖括號
        Matcher matcher = pattern.matcher(s);
        if (matcher.find()) {
            throw new IllegalStateException();
        }
        s = Normalizer.normalize(s, Normalizer.Form.NFKC);
    }

其中\uFE64表示的是<,而\uFE65表示的是>,程序的本意是判斷輸入的字符串是否包含了尖括號，但是因為直接傳入的是unicode字符，所以直接compile是檢測不到的。

我們需要對代碼進行下面的改動：

    public void trueNormalize(){
        String s = "\uFE64" + "script" + "\uFE65";
        s = Normalizer.normalize(s, Normalizer.Form.NFKC);
        Pattern pattern = Pattern.compile("[<>]"); // 檢查是否有尖括號
        Matcher matcher = pattern.matcher(s);
        if (matcher.find()) {
            throw new IllegalStateException();
        }
    }

先進行normalize操作，然后再進行字符驗證。

注意不可信字符串的格式化

我們經常會使用到格式化來對字符串進行格式化，在格式化的時候如果格式化字符串里面帶有用戶輸入信息，那么我們就要注意了。

看下面的例子：

    public void wrongFormat(){
        Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27);
        String input=" %1$tm";
        System.out.format(input + " 時間不匹配，應該是某個月的第 %1$terd 天", c);
    }

粗看一下沒什么問題，但是我們的input中包含了格式化信息，最后輸出結果：

 07 時間不匹配，應該是某個月的第 27rd 天

變相的，我們獲取到了系統內部的信息，在某些情況下面，可能會暴露系統的內部邏輯。

上面的例子我們應該將input也作為一個參數，如下所示：

    public void rightFormat(){
        Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27);
        String input=" %1$tm";
        System.out.format("%s 時間不匹配，應該是某個月的第 %terd 天",input, c);
    }

輸出結果：

 %1$tm 時間不匹配，應該是某個月的第 27rd 天

小心使用Runtime.exec()

我們知道Runtime.exec()使用來調用系統命令的，如果有惡意的用戶調用了“rm -rf /”,一切的一切都完蛋了。

所以，我們在調用Runtime.exec()的時候，一定要小心注意檢測用戶的輸入。

看下面的一個例子：

    public void wrongExec() throws IOException {
        String dir = System.getProperty("dir");
        Runtime rt = Runtime.getRuntime();
        Process proc = rt.exec(new String[] {"sh", "-c", "ls " + dir});
    }

上面的例子中，我們從系統屬性中讀取dir，然后執行了系統的ls命令來查看dir中的內容。

如果有惡意用戶給dir賦值成：

/usr & rm -rf /

那么系統實際上執行的命令就是：

sh -c 'ls /usr & rm -rf /'

從而導致惡意的刪除。

解決上面的問題也有幾個方法，第一個方法就是對輸入做個校驗，比如我們只運行dir包含特定的字符：

    public void correctExec1() throws IOException {
        String dir = System.getProperty("dir");
        if (!Pattern.matches("[0-9A-Za-z[@.](https://my.oschina.net/sakkeil)]+", dir)) {
            // Handle error
        }
        Runtime rt = Runtime.getRuntime();
        Process proc = rt.exec(new String[] {"sh", "-c", "ls " + dir});
    }

第二種方法就是使用switch語句，限定特定的輸入：

    public void correctExec2(){
        String dir = System.getProperty("dir");
        switch (dir){
            case "/usr":
                System.out.println("/usr");
                break;
            case "/local":
                System.out.println("/local");
                break;
            default:
                break;
        }
    }

還有一種就是不使用Runtime.exec()方法，而是使用java自帶的方法。

正則表達式的匹配

在正則表達式的構建過程中，如果使用用戶自定義輸入，同樣的也需要進行輸入校驗。

考慮下面的正則表達式：

(.*? +public\[\d+\] +.*<SEARCHTEXT>.*)

上面的表達式本意是想在public[1234]這樣的日志信息中，搜索用戶的輸入。

但是用戶實際上可以輸入下面的信息：

.*)|(.*

最終導致正則表達式變成下面的樣子：

(.*? +public\[\d+\] +.*.*)|(.*.*)

從而導致匹配所有的日志信息。

解決方法也有兩個，一個是使用白名單，判斷用戶的輸入。一個是使用Pattern.quote()來對惡意字符進行轉義。

感謝各位的閱讀，以上就是“java輸入校驗的方法是什么”的內容了，經過本文的學習后，相信大家對java輸入校驗的方法是什么這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！