※ 引述《frex (Frex)》之銘言：
: 目前是打算自己寫一支程式
: 就特殊字元取代/編碼
: 像這樣
: StringFilter myFilter=new StringFilter();
: String id=myFilter.getFString(request.getParamter("id"));
: 因為之前寫了很多支程式
: 現在才重視到這個問題
: 如果每一支程式 取得參數的地方都要修改
: 似乎非常的麻煩
: 不知道有沒有更好的方法可以解決？

讀檔用 regex 判斷後直接做全文取代吧。

: 另外
: 不知道各位有沒有在網路上看到有關
: jsp 在解決xss 和 sql injection的詳細教學
: 找了很久 似乎找不太到@@?

之前查過Sql injection的資料，
大部分都是做String replace。

Sql injection 的處理方式
就是不要直接把request的資料接進SQL裡，

先把一些SQL 的escape char 如 ' 處理掉，


如果是字串類別的，replaceAll("'","''")
就可以防堵一些基本的置入性攻擊了。XD


剩下的就讓強者來說吧 ~

--
I am a person, and I am always thinking .
Thinking in love , Thinking in life ,
Thinking in why , Thinking in worth.
I can't believe any of what ,
I am just thinking then thinking ,
but worst of all , most of mine is thinking not actioning...

--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.134.27.68