需要您帮助为Java应用程序编写安全过滤器,以保护攻击免受SQL注入和JavaScript注入的攻击。
任何带有示例的代码都可以。 感谢这方面的任何帮助。 应用程序在 JDK 1.7 和 Struts 1.0 上运行。
问候
筛选器可以查看参数和属性中的值。
我认为要设置参数,您可能需要跳过一些箍(例如,为参数提供一个包装类,否则它是只读
的??所以这个想法是检查输入以确保它们没有做任何SQL-y或javascript-y的事情。
另一种方法(关于SQL注入(是始终使用过程并使它们看起来像这样:
非常伪代码
- sql ="从t_Blargh中选择 *,其中icky_ptang =?"
- Proc p = connection.getTheThingy(sql(
- p.setParameter(1, thevalueyougotfromtheuser(
- ResultSet rs = p.execute((
与插入和更新相同(如果执行,则删除(
因此,要查找和阻止的单词/短语将是诸如删除表,选择插入更新删除创建javascript脚本等。