摘要:
使用IBM的安全漏洞扫描工具扫描出一堆漏洞,下面的filter主要是解决防止SQL注入和XSS攻击一个是Filter负责将请求的request包装一下。一个是request包装器,负责过滤掉非法的字符。将这个过滤器配置上以后,世界总算清净多了。。代码如下:[java]import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; . 阅读全文
摘要:
HTML中的转义字符HTML中的转义字符 HTML中,&等有特殊含义,(前两个字符用于链接签,&用于转义),不能直接使用。使用这三个字符时,应使用它们的转义序列,如下所示:& 或 &&和< 或 > 大于号""双引号空格©©版权符®® 注册符 前者为字符转义序列,后者为数字转义序列。数字转为字符对应的ASCII码值。例如 & lt; font >显示为,,若直接写为则被认为是一个链接签。 需要说明的是: a. 转义序列各字符间不 阅读全文
摘要:
SQL 注入简介: SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入: 比如在一个登陆界面,要求用户输入用户名和密码: 用户名: ' or 1=1 -- 密 码: 点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如: String sql="select * from users where username='"+userName+"' and password='"+password+&quo 阅读全文
摘要:
SQL注入所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 通过一下的例子更形象的了解SQL注入: 有一个Login画面,在这个Login画面上有两个文本框分别用来输入用户名和密码,当用户点了登录按钮的时候,会对输入的用户名和密码进行验证。验证的SQL语句如下: select * from student where username='输入的用户名' and password='输入的密码' 如果能够检索到数据,说明验证通过,否则验证不通过。 如果用户在用户名文本框中输入 阅读全文
摘要:
在用户名或者密码框中输入“11‘ or ’1‘ = '1”时,生成的sql语句将为“selec * from userInfo where name = '11' or '1' = '1' and pwd = '11' or '1' = '1'”;该语句永远为真。为了防止sql语句的注入,提高程序的安全性。需要替换危险字符。Java代码段:public class Checkstr {public String dostring(String str){ str=str.replaceAll 阅读全文