62,614
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
wuhacoffee 2011-10-14
- 打赏
- 举报
<script>alert('你好!');</script>
asd12121200 2011-04-04
- 打赏
- 举报
12楼有例子没,贴出来看下
借我那把枪吧 2011-04-03
- 打赏
- 举报
1楼的方案是最完美的了,用正则处理字符最有效了,此帖可结矣
火龙果被占用了 2011-04-03
- 打赏
- 举报
什么叫危险字符?
Isnotsuitable 2011-04-03
- 打赏
- 举报
public class Checkstr {
public Checkstr(){}
public String dostring(String str){
str=str.replaceAll("&","&");
str=str.replaceAll("<","<");
str=str.replaceAll(">",">");
str=str.replaceAll("'","");
str=str.replaceAll(";","");
str=str.replaceAll("--","");
str=str.replaceAll("/","");
str=str.replaceAll("%","");
return str;
}
}
public Checkstr(){}
public String dostring(String str){
str=str.replaceAll("&","&");
str=str.replaceAll("<","<");
str=str.replaceAll(">",">");
str=str.replaceAll("'","");
str=str.replaceAll(";","");
str=str.replaceAll("--","");
str=str.replaceAll("/","");
str=str.replaceAll("%","");
return str;
}
}
Isnotsuitable 2011-04-03
- 打赏
- 举报
给你个简单但实用的吧
amos1989 2011-04-03
- 打赏
- 举报
正则匹配
easyroom 2011-04-03
- 打赏
- 举报
就WEB应用来说,所谓危险的字符一般就是两种
一个是SQL注入,一个是HTML语法注入
SQL注入主流的框架都可以搞定,JDBC永远都使用preparedstatement就可以防止所有的sql注入,关键是用户输入都要通过占位符往里放,就自动的替换掉了特殊字符了。hibernate等orm框架都会搞定这个问题
HTML语法注入是指用户输入的html代码回显出来,这样如果不转义就可以破坏页面的结构或者注入脚本。所以现在的网站都不允许用户直接输入html代码了,现在都是一些UBB标签来完成一些效果。HTML主要最好的解决办法是在回显的时候进行转义,所有的MVC框架或者展示层框架都有HTML转义的支持,包括struts,spring,volicty等,注意观察他们用于显示的标签
一个是SQL注入,一个是HTML语法注入
SQL注入主流的框架都可以搞定,JDBC永远都使用preparedstatement就可以防止所有的sql注入,关键是用户输入都要通过占位符往里放,就自动的替换掉了特殊字符了。hibernate等orm框架都会搞定这个问题
HTML语法注入是指用户输入的html代码回显出来,这样如果不转义就可以破坏页面的结构或者注入脚本。所以现在的网站都不允许用户直接输入html代码了,现在都是一些UBB标签来完成一些效果。HTML主要最好的解决办法是在回显的时候进行转义,所有的MVC框架或者展示层框架都有HTML转义的支持,包括struts,spring,volicty等,注意观察他们用于显示的标签
huhk 2011-04-03
- 打赏
- 举报
危险字符的定义都没有,哪来的正则呀!需求都没定义好呢。
mickysky 2011-04-03
- 打赏
- 举报
第一次听说 危险字符 学习了
java爱好者 2011-04-03
- 打赏
- 举报
利用正则表达式比较好!!!
handsome_huxiulei 2011-04-03
- 打赏
- 举报
替换的也行 但是要替换的太多了-- 正则 靠谱--
asd12121200 2011-04-03
- 打赏
- 举报
二楼的不错,简单,一楼的有正则没
asd12121200 2011-04-03
- 打赏
- 举报
不会用正则
