如何使用StringEscapeUtils类来保护代码免受LDAP注入漏洞的攻击?
如何逃避searchBase,searchMask,scontrols?
try {
do {
NamingEnumeration<SearchResult> answer = null;
try {
answer = ctx.search(searchBase, searchMask, scontrols);
printSearchEnumeration(answer);
if (maxSize == 0)
exceedLimit = false;
else {
if (list.size() >= maxSize)
答案 0 :(得分:0)
您不能仅使用StringEscapeUtils Escapes and unescapes Strings for Java, Java Script, HTML and XML.
您应该使用肯定的验证方案来确保LDAP查询仅包含“安全”字符。在某些情况下,您将能够转义特殊字符,但这与HTML和Javascript转义不一致。查看OWASP's Preventing LDAP Injection in Java。