如何C14N，白名单验证用户输入

Question

我目前正在尝试创建一个只处理用户名和密码的安全登录信息。

我一直在阅读有关预防注射攻击的方法，而C14N /白名单验证似乎是一种常见做法。但是，我无法弄清楚如何规范化然后验证用户输入。

我的登录位于JSP页面中，然后通过httpservlet处理输入，并检查用户输入是否与数据库中的输入匹配。

我有几个问题：

1. 我如何规范化？是否有现成的工具供我使用，或者我是否必须创建自己的版本？
2. 在JSP页面或Java servlet中，我在哪里进行规范化和验证？
3. 我是否需要将验证列入白名单，或者是否需要对用户输入进行清理（usrname / pw）？
4. 是否有实际实施的教程/示例，以便我可以进一步理解这一点？

从理论上讲，这一切都是有道理的。但是我正在查看的所有网络文档都没有解释如何做到这一点。