使用ESAPI防止XSS的做法:
String safe = ESAPI.encoder().encodeForHTML( request.getParameter( “input” ) );
对用户输入“input”进行HTML编码,防止XSS。
使用ESAPI防止ORACLE数据库SQL注入的做法:
String sqlStr=“select name from tableA where id=”+
ESAPI.encoder().encodeForSQL(ORACLE_CODEC,validatedUserId)
+“and date_created”=’“
+ ESAPI.encoder()。encodeForSQL(ORACLE_CODEC,validatedStartDate)+”‘”;
myStmt = conn.createStatement(sqlStr);
设置一个过滤器,在过滤器中对这两种情况就行处理
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/13659.html