我想用request.getParameter((修复有多个变量的JSP页面。你能建议用什么替代它吗。
<%
if(appStatusId == AppCon.DECLINED) {
String VPC = request.getParameter(constants.PRODUCT_CODE);
%>
String Make = request.getParameter(constants.VEH_MAKE);
String NewUsed = request.getParameter(constants.VEH_NEWUSED);
在处理不受信任的用户输入(如request.getParameter((中的值(时,应始终在显示输入之前对其进行转义。
使用StringEscapeUtils(来自Apache Commons Text(之类的实用程序类来转义数据,而不是自己转义。
例如,它看起来像这样:
String myVariable = StringEscapeUtils.escapeHtml4(request.getParameter("myParameter")
您可以在OWASP网站C4:Encode和Escape Data 上找到有关逃跑的背景信息