a = a.replaceAll("%22", "")
a = a.replaceAll("%27", "")
a = a.replaceAll("%3E", "")
a = a.replaceAll("%3e", "")
a = a.replaceAll("%3C", "")
a = a.replaceAll("%3c", "")
a = a.replaceAll("<", "")
a = a.replaceAll(">", "")
a = a.replaceAll("\"", "")
a = a.replaceAll("'", "")
a = a.replaceAll("\\+", "")
a = a.replaceAll("\\(", "")
a = a.replaceAll("\\)", "")
a = a.replaceAll(" and ", "")
a = a.replaceAll(" or ", "")
a = a.replaceAll(" 1=1 ", "")
return a
}
配置过滤器,再实现 ServletRequest 的包装类。
将所有的编程全角字符的解决方式。首先添加一个jar包:commons-lang-2.5.jar ,然后在后台调用函数。
框架本身并不具有这些功能。防止xss,sql等的攻击大部分需要程序员自己注意。
sql注入本身就是sql语句写法的漏洞导致。
xss攻击的防御还是需要对非法字符串进行判断过滤。