摘要：为了防止SQL注入，最简洁的办法是杜绝SQL拼接，SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑，如果使用PreparedStatement来代替Statement来执行SQL语句，其后只是输入参数，SQL注入攻击手段将无效，这是因为PreparedStatement不允许在不同的插入时... 阅读全文

摘要：原理，过滤所有请求中含有非法的字符，例如：, & invalidsql = new ArrayList(); private static String error = "/error.jsp"; private static boolean debug = false; public void ... 阅读全文

摘要：XSS又叫CSS英文缩写为Cross Site Script中文意思为跨站脚本攻击具体内容指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的.解决方案第一。过滤过滤 标签 等字符，但是这样 对用户是不公平的。第... 阅读全文