ESAPI处理sql注入和xss攻击_esapi.encoder().encodeforhtml

作者：凡人多烦事01 | 2024-02-27 05:55:15

踩

esapi.encoder().encodeforhtml

使用ESAPI防止XSS的做法：

String safe = ESAPI.encoder().encodeForHTML( request.getParameter( "input" ) );

对用户输入“input”进行HTML编码，防止XSS。

使用ESAPI防止ORACLE数据库SQL注入的做法：

　　String sqlStr=“select name from tableA where id=”+

　　ESAPI.encoder().encodeForSQL(ORACLE_CODEC，validatedUserId)

　　+“and date_created”='“

　　+ ESAPI.encoder()。encodeForSQL(ORACLE_CODEC，validatedStartDate)+"'";

　　myStmt = conn.createStatement(sqlStr);

设置一个过滤器，在过滤器中对这两种情况就行处理

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/凡人多烦事01/article/detail/150530