防止XML注入攻击的最佳方法是什么?我想使用参数化,但没有像SQL这样的东西,所以我必须构建一个。我只是想知道构建一个的最佳方法是什么,我应该清理什么。
抱歉,这是针对XPath的。我正在编写一个快速功能,立即删除所有单引号和双引号,但是有更好的方法吗?
答案 0 :(得分:2)
许多XPath处理器/ API允许您在表达式中使用变量,因此您可以编写例如//A[@status=$param],其中$param的值由调用代码提供。如果您可以使用它,那么,因为它可以防止所有注入攻击。它也可能比使用字符串连接构造表达式更有效,因为它只需要编译一次。