【发布时间】:2018-06-19 06:19:31
【问题描述】:
需要您的帮助,为 java 应用程序编写一个安全过滤器,以保护对 sql 注入和 javascript 注入的攻击。
任何带有示例的代码都可以。 感谢您在这方面的任何帮助。 应用程序在 JDK 1.7 和 Struts 1.0 上运行。
问候
【问题讨论】:
标签: java struts servlet-filters
需要您的帮助,为 java 应用程序编写一个安全过滤器,以保护对 sql 注入和 javascript 注入的攻击。
任何带有示例的代码都可以。 感谢您在这方面的任何帮助。 应用程序在 JDK 1.7 和 Struts 1.0 上运行。
问候
【问题讨论】:
标签: java struts servlet-filters
您的过滤器可以查看参数和属性中的值。
我认为要设置参数,您可能需要跳过一些环节(例如,为参数提供一个包装类,否则它是只读的??)
因此我们的想法是检查输入以确保它们没有执行任何 SQL-y 或 javascript-y 操作。
另一种方法(关于 SQL 注入)是始终使用过程并让它们看起来像这样:
// 很伪的代码
与插入和更新相同(如果您这样做,则删除)
因此,要查找和阻止的单词/短语可以是 DROP TABLE、SELECT INSERT UPDATE DELETE CREATE javascript 脚本等。
【讨论】: