相关疑难解决方法(0)

我试图在java中放入一些反sql注入,并且发现很难使用"replaceAll"字符串函数.最后,我需要将任何现有的转换功能\来\\,任何"到\",任何'到\',任何\n以\\n使得当字符串由MySQL的SQL注入评估将被阻止.

我已经搞砸了一些我正在使用的代码,所有\\\\\\\\\\\功能都让我的眼睛变得疯狂.如果有人碰巧有这样的例子我会非常感激.

我正在编写一个java类,它将由servlet过滤器调用,并检查基于Struts的java Web应用程序的注入攻击尝试和XSS.InjectionAttackChecker类使用regex和java.util.regex.Pattern类来根据regex中指定的模式验证输入.

话虽如此,我有以下问题:

1. 应该阻止所有特殊字符和字符模式(例如<>,., - ,<=,==,> =)以防止注入攻击.
2. 是否存在我可以使用的现有正则表达式模式？
3. 我必须在某些特定情况下允许一些特殊字符模式,一些示例值(允许)是(使用'pipe'|字符作为不同值的分隔符)*Atlanta | #654,BLDG 8#501 | 单纯疱疹:慢性溃疡(> 1个月的持续时间)或支气管炎,肺炎或食道炎 FUNC&COMP(date_cmp),"NDI&MALKP&HARS_IN(icd10,yes)".我应该采取什么策略,以便可以防止注入攻击和XSS,但仍然允许这些字符模式.

我希望我已经清楚地提到了这个问题.但如果我没有,我道歉只是我的第二个问题.如果需要澄清,请告诉我.

任何人都知道一个好的lib,我可以在插入之前运行字符串,这可以删除sql/javascript代码？在jsp页面中运行.

理想上lib将是:

• 自由
• 轻量级
• 使用方便

在此先感谢SO社区,他们将很乐意回复:)