web安全专题-跨站脚本(XSS)攻击
二、
- 防止 html、js注入[窃取cookie] SQL注入 xss?
sql注入就是通过url或者post提交数据时候,字符串类型的参数会被别人利用传入sql语句,最终破坏数据库
String sql = “select name from user where id= ?”; 如果用户填入: 3;drop table user; 则会误删表
写法上。 1、#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。 采用框架SQL(如JPA)可以避开SQL注入,避免使用原生SQL。
2、黑名单:拦截器,可能会拦截有效信息。
3、编写原生sql时进行独立的过滤。[黑名单] 编写过滤方法。在指定函数上进行调用。
- 顺势提到,敏感词过滤 拦截器的方式可以做简单的敏感词过滤。 更具体的如果是社会中全量的常用敏感词,我们应该使用敏感词库?或者自建敏感词字典树的形式。
