Java是否具有安全性的標準功能,如在php htmlspecialchars
,strip_tags
?或者我必須寫我自己的功能?我想確保我的腳本安全地處理用戶數據。安全功能
安全功能
回答
不完全是。
防止Java中的注入攻擊來自「免費」提供您以某種方式做某事是正確的。例如:
不要通過連接字符串來創建SQL。相反,使用佔位符創建SQL,並使用JDBC
PreparedStatement
進行編譯/執行。在JSP中,使用
<c:out>
輸出來自用戶的任何數據。這自動HTML轉義它來變性任何可能的注入nasties。
我使用你輸入的所有東西,但數據來自用戶的輸入表單。如果我使用PreparedStatement作爲例子,爲了添加記錄到我的數據庫它會檢查我的數據嗎?所以我不需要在我的請求參數中使用這些函數,它來自客戶端? – 2012-02-21 10:46:59
它不檢查數據*本身*。相反,它會導致被視爲單個SQL數據值包含了用戶的輸入參數......不論任何時髦的報價,等等,用戶可能會嘗試在SQL注入攻擊利用的。 – 2012-02-21 11:25:25
這不是一個解決方案,只是一個建議,當它的安全性,我從來沒有使用內置的功能,我經常寫他們自己根據客戶的要求,使用正則表達式,它們對這個非常強大的。
這太麻煩,有沒有一些簡單的方法來做到這一點? – 2012-02-21 10:37:31
這也是一個壞建議,除非你的安全性比其他人好。 (並且*思維*之間存在差異*你比實際*更好*) – 2012-02-21 10:44:53
斯蒂芬,爲什麼這會是一個不好的建議?你的意思是寫自己的功能是一個不好的建議?相比之下,使用內置函數只能看到但不能編輯源代碼? – JBoy 2012-02-24 14:51:43
你可以嘗試春季安全庫(.jar)文件
這給所有的功能,以避免網絡相關的安全問題
這裏是鏈接
http://static.springsource.org/spring-security/site/
你也可以找到的一些幫助owasp.com網站
http://owasp.com/index.php/Main_Page
- 1. https安全功能
- 2. SQL Server 2016安全功能
- 3. 不安全的功能
- 4. 安全劃分功能
- 5. Activiti的安全功能
- 6. Android中的安全功能
- 7. 字符串安全功能vs安全增強CRT
- 8. 禁止AJAX作爲安全功能
- 9. 沒有複製安全功能
- 10. 這些安全功能是否足夠?
- 11. 安全[是/否]; [1/2/3/etc。]功能
- 12. 安全登錄和註冊功能
- 13. 如何使此功能縮小安全?
- 14. 此登錄功能是否安全?
- 15. WCF安全與AD功能組
- 16. 安全加密/解密功能
- 17. 已禁用HBase錯誤安全功能
- 18. 線程安全,無鎖增量功能?
- 19. 使任意功能運行安全嗎?
- 20. 是否啓用安全保護功能
- 21. WebBrowser控件的安全功能
- 22. 禁用Windows Mobile安全功能
- 23. 使用eval安全地執行功能
- 24. Symfony的功能測試:繞過安全
- 25. PHP - 「包含」功能是否安全?
- 26. 禁用功能安全處理XML的
- 27. 功能齊全
- 28. Kotlin類型安全製造商DSL,最外層功能的安全
- 29. 安全註釋 - 不能安全
- 30. SQL「全部」功能?
相關:[XSS預防中的Java(http://stackoverflow.com/questions/2658922/xss-prevention-in-java) – BalusC 2012-02-21 18:37:58