背景:提交訂單時測試資料通常會有html標籤,例如名稱字段:名稱,這樣對於查詢再顯示出來會有問題,因此需要對html**進行轉義
string s = htmlutils.htmlescape("hello world
"); //轉義
system.out.println(s);
string s2 = htmlutils.htmlunescape(s); //反轉義
system.out.println(s2);
輸出結果
hello world
hello world
var htmlencode=function(input)
呼叫以上function
htmlencode("字段值")
注:轉以後存到資料庫,取出事一般不需要反轉義,jsp會自動轉義並顯示
防止SQL注入
1.什麼是sql注入 所謂sql注入,就是通過把sql命令插入到web表單遞交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令。通過遞交引數構造巧妙的sql語句,從而成功獲取想要的資料。2.sql注入的種類 從具體而言,sql注入可分為五大類,分別是 數字型注入 字元型注入...
防止SQL注入
最近看到很多人的 都被注入js,被iframe之類的。非常多。本人曾接手過乙個比較大的 被人家入侵了,要我收拾殘局。1.首先我會檢查一下伺服器配置,重新配置一次伺服器安全,可以參考 2.其次,用麥咖啡自定義策略,即使 程式有漏洞,別人也很難在檔案上寫入 了。參考自定義策略,有了這個策略,再爛的程式,...
防止JS注入
if request.querystring null if request.form.count 0 else if s3 s1 b.對引數進行sql防止注入判斷 public static string safesqlliteral string inputsql two or more spa...