社区
Web 开发
帖子详情
防止表单注入,转义掉html和script代码
lwkjob
2011-10-22 03:05:09
第一次做项目,想问问怎么转义掉用户输入的html和script代码,然后再存入数据库,脚本的和java类的都可以,请大家贴代码谢谢,刚出来工作,后台开发完了老大给了2个新的要求,要防止重复提交(这个我做好了),现在就是表单注入了,请大家多多帮助 谢谢
...全文
1279
11
打赏
收藏
防止表单注入,转义掉html和script代码
第一次做项目,想问问怎么转义掉用户输入的html和script代码,然后再存入数据库,脚本的和java类的都可以,请大家贴代码谢谢,刚出来工作,后台开发完了老大给了2个新的要求,要防止重复提交(这个我做好了),现在就是表单注入了,请大家多多帮助 谢谢
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
11 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
蜀贷网
2013-12-26
打赏
举报
回复
<script src="/statics/jslog/plugins/iframeTools.source.js"></script>
CZ462618154
2013-08-21
打赏
举报
回复
<h3>Go,Html. </h3>
aree
2013-07-22
打赏
举报
回复
是想要代码吧。没有提供。。。
lwkjob
2011-10-24
打赏
举报
回复
谢谢大家 !
我现在做的网站用户FQA模块,功能看似很小,但是这个项目验收会很严格,作为从来没做过项目的学生,在编码方面我希望自己尽我的能力做到,严密安全。如有类似方便经验的,或者知道可以指点我借鉴东西,的师兄们,多多指点,谢谢
teemai
2011-10-23
打赏
举报
回复
http://blog.51yip.com/php/1031.html
用户输入的东西是不可信认的,例如,用户注册,用户评论等,这样的数据,你不光要做好防sql的注入,还要防止JS的注入,html的注入。
一,javascript注入的危害
举个简单的例子,我在一个网站留言了,并且这个网站没有对JS进行过滤,我在留言中加入以下内容
查看复制打印?
<script language=javascript>
for(i=0;i>=0;i++){
alert('我弹');
}
</script>
上面的代码虽然简单,可是可以无限循环,并且会一直弹东西出来,让人感觉很不爽,直到浏览器没有响应为止。浏览您网站的人,第一反应肯定是这个网站有病毒。
解决办法
查看复制打印?
$comment = preg_replace("/<[^><]*script[^><]*>/i",'',$comment);
把里面的javascript标签去掉就行了。
二,html注入的危害
1,容易引起页面错乱,对用户输入html标签不做处理的话,在读取的时候,很有可能就会破坏页面的布局。
2,影响seo,做seo的人都知道,pr高的网址,如果有链接,链到你的网站的话,可以加大自己网站的权重,这也是为什么有那么多人喜欢在高pr网站灌水的原因了。如果你没有对html标签进行处理的话,我输入以下内容
查看复制打印?
<a href="http://XXX.com" style="display:none;">XXX.COM</a>
XXX.COM是个不河蟹网站,政府肯定会河蟹的,如果你的网站有链接到这样的网址,很有可能导致,你网站权重降低.
危害肯定不止这二个,因此要对这些html标签进行处理
查看复制打印?
$comment = preg_replace("/<[\/\!]*?[^<>]*?>/si",'',$comment);
过滤的方法有好多,也可以直接把<>这样的符号转义掉,或者直接删除掉都是可以的。
碧海情天-赵亮
2011-10-23
打赏
举报
回复
有时,假如你的网站提供一些JS供用户调用的话,那就要允许用户使用<SCRIPT>标签,只不过在地址上需要再进行鉴别和限制。
因此,怎么阻止,是要根据网站的功能和具体每一处地方的实际性质来处理的。只要你基础学过,那么,知道要干什么,就自然知道怎么干,没什么难点,只是牢固掌握基础之后的适当选择使用。
碧海情天-赵亮
2011-10-23
打赏
举报
回复
根据用户填写内容的性质,区分为HTML内容,和TEXT内容。
对TEXT内容应进行去除HTML的操作再入库,这方面有现成的函数可搜索借用,原理其实很简单,用正则替换或者普通的字串替换即可。
对HTML内容,可以用HTML转义符进行标签符号替换。
还有一些HTML内容,是不能用HTML转义显示的,而是要实际作为HTML发生效果的,对这样的内容,就要进行有鉴别的过滤,把不允许的一些情况剔除出去,只允许那些不会带来伤害的内容。
火龙果被占用了
2011-10-23
打赏
举报
回复
数据的话一般是用户填写的什么数据,数据库就存什么数据。在页面上进行转义。
比如用 JSTL 的话,<c:out value="${name}" /> 会自动转义。
lwkjob
2011-10-22
打赏
举报
回复
[Quote=引用 1 楼 huxiweng 的回复:]
防表单注入,单这个注入方式就有很多种,一般正常点处理就可以了。比如用preparedStatement等。如果是银行项目或者安全性比较高的项目需要全面考虑各种注入。
[/Quote]
这个是解决sql注入我现在像解决的是html标签,和javascript脚本而且是转义,比如< 转义<
niuniu20008
2011-10-22
打赏
举报
回复
何苦自己写,preparedStatement就实现了。
teemai
2011-10-22
打赏
举报
回复
防表单注入,单这个注入方式就有很多种,一般正常点处理就可以了。比如用preparedStatement等。如果是银行项目或者安全性比较高的项目需要全面考虑各种注入。
浅谈
html
转义
及
防止
java
script
注入
攻击
一、什么是Java
Script
注入
攻击 在我们接收用户输入或在页面显示用户输入的数据时,我们的网站默认是向Java
Script
注入
攻击敞开了大门。让我们看看我们的Web应用程序如何被Java
Script
攻击。 假设我们创建了一个用户...
防止
js
代码
注入
攻击
html
转义
是将特殊字符或
html
标签转换为与之对应的字符。如:&amp;lt; 会
转义
为 &amp;lt;&amp;gt; 或
转义
为 &amp;gt;像“&quot;&amp;lt;“
script
&amp;gt;...
sql特殊字符
转义
处理,
防止
注入
表单
富文本输入时,有
html
,需要
转义
,
html
+加中文时,用StringEscapeUtils.escape
Html
转义
时,中文也
转义
了,经过查找,最终找到spring的org.springframework.web.util.
Html
Utils.
html
Escape <groupId>org...
【Javaweb】后台的字符串
转义
,入库之前记得先对字符串
转义
防止
sql
注入
问题
在《【Java
Script
】某些字符不
转义
可以导致网页崩溃与涉及
转义
字符的显示方法》(点击打开链接)提及到一种
表单
之前,必须把
表单
的输入框的内容
转义
的方法,但是,其实这种字符串的
转义
更加应该放在后台中进行。...
springmvc
防止
XSS攻击 && 特殊字符
转义
和方法入参检测工具类
两个博文地址:springmvc ...XSS攻击,即Cross Site
Script
,跨脚本攻击,往web页面
注入
html
代码
或者
script
代码
,造成页面混乱。 spring mvc框架中,有很多编辑器,每个编辑器有不同的作用,
防止
XSS攻击,就用到Prop
Web 开发
81,092
社区成员
341,717
社区内容
发帖
与我相关
我的任务
Web 开发
Java Web 开发
复制链接
扫一扫
分享
社区描述
Java Web 开发
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章