那些遇到过的问题

在Java Web应用程序中防止SQL注入攻击和XSS的方法

ary*_*rya 12 java regex xss sql-injection

我正在编写一个java类,它将由servlet过滤器调用,并检查基于Struts的java Web应用程序的注入攻击尝试和XSS.InjectionAttackChecker类使用regex和java.util.regex.Pattern类来根据regex中指定的模式验证输入.

话虽如此,我有以下问题:

  1. 应该阻止所有特殊字符和字符模式(例如<>,., - ,<=,==,> =)以防止注入攻击.
  2. 是否存在我可以使用的现有正则表达式模式?
  3. 我必须在某些特定情况下允许一些特殊字符模式,一些示例值(允许)是(使用'pipe'|字符作为不同值的分隔符)*Atlanta | #654,BLDG 8#501 | 单纯疱疹:慢性溃疡(> 1个月的持续时间)或支气管炎,肺炎或食道炎 FUNC&COMP(date_cmp),"NDI&MALKP&HARS_IN(icd10,yes)".我应该采取什么策略,以便可以防止注入攻击和XSS,但仍然允许这些字符模式.

我希望我已经清楚地提到了这个问题.但如果我没有,我道歉只是我的第二个问题.如果需要澄清,请告诉我.

Jam*_*hon 7

基于您的问题,我假设您正在尝试过滤不良值.我个人认为这种方法可以非常快速地变得非常复杂,并建议将编码值作为替代方法.以下是关于该主题的IBM文章,其中列出了两种方法的优缺点,http://www.ibm.com/developerworks/tivoli/library/s-csscript/.

要避免SQL注入攻击,只需使用预准备语句而不是创建SQL字符串.

归档时间:

查看次数:

20093 次

最近记录:

6 年,10 月 前
相关归档
开关盒中的变量范围 91
使用JPA Hibernate自动保存子对象 64
如何使用Guava将可能的空值转换为默认值? 54
Spring Boot中的@ComponentScan和@EnableAutoConfiguration有什么区别? 54
用php获取<tag>和</ tag>之间的所有内容 27
如何与java.util.regex执行部分匹配.*? 25
如何使用PHP检测"Google Chrome"作为用户代理? 19
如何用下划线替换大写? 9
PHP:将一串交替的字符组拆分成一个数组 8
Perl:我可以在变量中存储反向引用(而不是它们的值)吗? 6
难疑归档
如何检查jQuery中是否选中了复选框? 4390
在jQuery中添加表行 2331
如何显示PHP错误? 1646
<快于<=? 1508
你什么时候使用git rebase而不是git merge? 1461
match_parent和fill_parent有什么区别? 1371
Git diff对付藏匿处 1265
对于Android Studio项目,我的.gitignore应该是什么? 1210
我怎么知道分支是否已经合并为主分支? 1077
如何列出包含给定提交的分支? 1029