php
xss攻击防范
如果类似商品标题之类的,可以使用 strip_tags() 过滤,全部清除掉html标签。
如果类似商品描述之类的,可以使用 htmlspecialchars() 过滤,把html标签转义。
sql注入防范
数字类型参数,可以使用 (int)/intval() 强制转为整形。
字符串类型参数,可以使用 mysql_real_escape_string() 转义特殊字符。
java
xss攻击防范
输入时处理,使用 StringEscapeUtils.escapeHtml4()/HtmlUtils.htmlEscape() 来进行过滤。
输出时处理,使用 <c:out value="${msg}" /> 来进行过滤。
sql注入防范
StringEscapeUtils.escapeSql() 将SQL参数特殊字符转义。
xss攻击和sql注入防范
原文:http://my.oschina.net/wangwang110/blog/507008
