任何人都知道一个好的lib,我可以在插入之前运行字符串,这可以删除sql/javascript代码?在jsp页面中运行.
理想上lib将是:
自由
轻量级
使用方便
在此先感谢SO社区,他们将很乐意回复:)
Apache Commons lang StringEscapeUtils将为您提供一些方法.它逃脱了,并没有剥离.
http://commons.apache.org/lang/api/org/apache/commons/lang/StringEscapeUtils.html
编辑:转义可以使您免于注入攻击,因为它确保用户输入的数据不会作为代码执行,而是始终作为数据呈现给用户.
京公网安备 11010802040832号 | 京ICP备19059560号-6 