※ 引述《frex (Frex)》之銘言： : 目前是打算自己寫一支程式 : 就特殊字元取代/編碼 : 像這樣 : StringFilter myFilter=new StringFilter(); : String id=myFilter.getFString(request.getParamter("id")); : 因為之前寫了很多支程式 : 現在才重視到這個問題 : 如果每一支程式 取得參數的地方都要修改 : 似乎非常的麻煩 : 不知道有沒有更好的方法可以解決？ 讀檔用 regex 判斷後直接做全文取代吧。 : 另外 : 不知道各位有沒有在網路上看到有關 : jsp 在解決xss 和 sql injection的詳細教學 : 找了很久 似乎找不太到@@? 之前查過Sql injection的資料， 大部分都是做String replace。 Sql injection 的處理方式 就是不要直接把request的資料接進SQL裡， 先把一些SQL 的escape char 如 ' 處理掉， 如果是字串類別的，replaceAll("'","''") 就可以防堵一些基本的置入性攻擊了。XD 剩下的就讓強者來說吧 ~ -- I am a person, and I am always thinking . Thinking in love , Thinking in life , Thinking in why , Thinking in worth. I can't believe any of what , I am just thinking then thinking , but worst of all , most of mine is thinking not actioning... -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.134.27.68