Java是否具有安全性的标准功能,例如php htmlspecialchars
,strip_tags
?或者我必须自己编写函数吗?我想确保我的脚本安全地处理用户数据。
答案 0 :(得分:3)
不完全是。
在Java中防止注入攻击是“免费”提供您以正确的方式执行某些操作。例如:
不要通过连接字符串来创建SQL。相反,使用占位符创建SQL,并使用JDBC PreparedStatement
编译/执行。
在JSP中,使用<c:out>
输出来自用户的任何数据。这会自动将HTML转义为使任何潜在注入的恶意软件变性。
答案 1 :(得分:0)
你可以试试spring security library(.jar)
它提供了避免与Web相关的安全问题的所有功能
这里是链接
http://static.springsource.org/spring-security/site/
你也可以从owasp.com网站上找到一些帮助 http://owasp.com/index.php/Main_Page
答案 2 :(得分:-1)
这不是一个解决方案,只是一个建议,当它涉及安全性时,我从不使用内置函数,我总是根据客户要求自己编写,使用RegExp,它们对此非常强大。