我正在寻找一些关于保护我的代码免受漏洞攻击的建议.以下是我有两个问题的问题.
<input type="hidden" name="criteria" value="" />
<input type="hidden" name="search" value="0" />
使用IBM的App Scan扫描代码,结果显示测试能够将脚本(XSS)注入参数'criteria'和'search'.我在网上发现了一些这样的例子(内部标签),但没有找到可靠的解决方案.根据这些信息,清除值以防止XSS的最简单方法是什么?
我最近运行了一个应用程序扫描(IBM),现在我正在尝试修复出现的问题.我的大部分问题源于cfquery(见下文).我试图得到它,以便存储的XSS和SQL注入问题不会出现在我的扫描上.任何帮助将不胜感激,因为这是我第一次做某种事情.
谢谢!
<cfquery name="enter_question" datasource="#dsn#">
INSERT INTO xx_questions(q_id,
q_name,
q_narrative,
q_used,
q_type)
VALUES( #variables.new_q_id#,
'#form.q_name#',
'#form.q_narrative#',
'n',
#form.q_type#)
</cfquery>