还有其他方法可以防止SQL注入和XSS攻击吗?我知道ESAPI可以用于JAVA 1.5或更高版本,我的项目是在JAVA 1.4上,需要实现ESAPI,防止SQL注入和XSS攻击,JAVA 1.4的任何其他替代库也很有帮助。
答案 0 :(得分:1)
还有其他替代方法可以防止SQL注入和 XSS攻击?
SQL:Java PreparedStatements自1.2以来就存在。作为ESAPI-java-legacy repo的共同所有者,您应该使用这些而不是ESAPI来进行正确的防御。 ESAPI提供的SQL转义技术仅用于提供紧急救援,最终将被参数化查询替换。
XSS:我不相信。我非常确定apache commons StringEscapeUtils依赖于已知漏洞的库。我的项目是在JAVA 1.4上,需要实现ESAPI,防止 从SQL注入和XSS攻击,任何其他替代库 对于JAVA 1.4也很有用。
嗯,2017年9月底应该有望推出的下一个版本将停止支持Java 1.6。仍然可能与1.4一起使用的ESAPI 1.4版本已知其中的CVE永远不会被修复。 ESAPI在1.4时,是世界上唯一做过它的公共图书馆。
顺便说一句:任何仍然处于生产阶段的 旧的应用程序可能比ESAPI可以解决的库更糟糕。