个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
26
4
让我们来看看这个场景:您有一个文本框,允许用户复制任何类型的文本(UTF8 或中文或阿拉伯字符),然后是一个提交按钮以将该文本插入 MySQL 数据库。
通常,我使用 URLEncoder.encode(text,"UTF-8") 并且我的应用程序运行非常稳定;我从不担心用户是否插入了任何特殊字符,因为文本是经过编码的,所以当我阅读文本时,我只是对其进行解码,文本完全按照以前的方式出现。
但是有些人说我们可以在 MySQL 和 Tomcat 服务器或其他服务器中设置 UTF8,这样我们就不需要编码,但是这个解决方案需要配置,我讨厌配置,因为它不是一个非常好的解决方案。
此外,用户可以输入垃圾代码来破解数据库。
那么,在 Java 和 MYSQL 中,在将文本插入数据库时对文本进行编码是一种好习惯吗?
其他论坛的一些人说在数据库中存储编码文本非常糟糕,但他们没有说为什么不好。
所以这个问题就交给对Java和MySQL有丰富经验的人来回答吧!
最佳答案
将 URL 或 XML 编码的文本放入数据库的问题是查询和对该文本进行其他处理变得困难。
另一个问题是在不同的上下文中需要不同类型的转义。
... but this solution requires configuration & I hate configuration as it is not a very sound solution.
呃,断言配置“不是一个非常合理的解决方案”并不是一个理性的论点。绝大多数具有数据库组件的应用程序都需要某种数据库配置。
Besides, users can enter junk code to hack the DB.
真正解决SQL注入(inject)的方法是使用PreparedStatement并修复了 SQL 查询、插入、更新等字符串。对所有查询参数使用占位符并使用 PreparedStatement设置参数方法以提供它们的值。这将正确引用参数中的文本,以消除 SQL 注入(inject)攻击的可能性。
您需要担心的另一件事是人们使用未转义的 XML/HTML 元字符(如 <、> 和引号)对其他用户进行 XSS 攻击。解决这个问题的方法是在创建 HTML 时对文本进行转义。例如,您可以使用 <c:out>转义文本。
最后,HTML URL 编码的文本不能直接插入到 HTML 页面中。 URL 编码方案(使用 % 和 +)不是 HTML 页面中文本的正确编码方案。在那里你需要使用 &...;字符实体来编码事物。 %xx在文本中显示的内容与您在浏览器中显示网页时的内容完全相同。试试看!
回答评论中的问题:
iamthepiguy said "encode everything before putting it into Db", but u said "No". Suppose i put Html text into DB, there a lot of special characters & many other stuffs, how can we let Db to handle all of them, for example, if mysql doesn't recognize a char, it will turn to "?" & it means the text got corrupted, it mean the users lost that text. How Mysql handle all kind of special characters?
如果您使用带有所有文本参数占位符的 SQL 的 PreparedStatement,则 JDBC 驱动程序会自动处理转义。
Also, since there is a very diversity of UTF & special chars, so how many other things we need to worry if we do not encode text to make sure the system run stably?
同样的答案。
Encoded text make the system run a bit slower, but we are headache-free.
如果使用准备好的语句和 <c:out> 就不会让人头疼了(或等效的)。
you sid "The way to defeat that is to escape the text at the point you are creating the HTML." so we have to use Java to encode right?
是的,但是当您输出文本以包含在网页中时,您只能对文本进行 HTML 编码。如果将其输出为 JSON,则使用 JSON 转义进行编码……或者更可能的是,让 JSON 序列化程序为您完成。如果您以其他格式发送文本,或将其包含在其他内容中,则根据需要对其进行编码……或者根本不进行编码。
但重点是您不以编码形式将其存储在数据库中。如果这样做,那么在几乎所有情况下(包括 HTML!!),您都需要在以正确的方式编码之前解码 HTML URL 编码的文本。
关于java - 在 Java 和 MYSQL 中,当我们将文本插入数据库时,对文本进行编码是一种好习惯吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16503334/
26
4
0
我喜欢 smartcase,也喜欢 * 和 # 搜索命令。但我更希望 * 和 # 搜索命令区分大小写,而/和 ?搜索命令遵循 smartcase 启发式。 是否有隐藏在某个地方我还没有找到的设置?我宁
关闭。这个问题是off-topic .它目前不接受答案。 想改进这个问题? Update the question所以它是on-topic对于堆栈溢出。 10年前关闭。 Improve this qu
从以下网站,我找到了执行java AD身份验证的代码。 http://java2db.com/jndi-ldap-programming/solution-to-sslhandshakeexcepti
似乎 melt 会使用 id 列和堆叠的测量变量 reshape 您的数据框,然后通过转换让您执行聚合。 ddply,从 plyr 包看起来非常相似..你给它一个数据框,几个用于分组的列变量和一个聚合
我的问题是关于 memcached。 Facebook 使用 memcached 作为其结构化数据的缓存,以减少用户的延迟。他们在 Linux 上使用 UDP 优化了 memcached 的性能。 h
在 Camel route ,我正在使用 exec 组件通过 grep 进行 curl ,但使用 ${HOSTNAME} 的 grep 无法正常工作,下面是我的 Camel 路线。请在这方面寻求帮助。
我正在尝试执行相当复杂的查询,在其中我可以排除与特定条件集匹配的项目。这是一个 super 简化的模型来解释我的困境: class Thing(models.Model) user = mod
我正在尝试执行相当复杂的查询,我可以在其中排除符合特定条件集的项目。这里有一个 super 简化的模型来解释我的困境: class Thing(models.Model) user = mod
我发现了很多嵌入/内容项目的旧方法,并且我遵循了在这里找到的最新方法(我假设):https://blog.angular-university.io/angular-ng-content/ 我正在尝试
我正在寻找如何使用 fastify-nextjs 启动 fastify-cli 的建议 我曾尝试将代码简单地添加到建议的位置,但它不起作用。 'use strict' const path = req
我正在尝试将振幅 js 与 React 和 Gatsby 集成。做 gatsby developer 时一切看起来都不错,因为它发生在浏览器中,但是当我尝试 gatsby build 时,我收到以下错
我试图避免过度执行空值检查,但同时我想在需要使代码健壮的时候进行空值检查。但有时我觉得它开始变得如此防御,因为我没有实现 API。然后我避免了一些空检查,但是当我开始单元测试时,它开始总是等待运行时异
尝试进行包含一些 NOT 的 Kibana 搜索,但获得包含 NOT 的结果,因此猜测我的语法不正确: "chocolate" AND "milk" AND NOT "cow" AND NOT "tr
我正在使用开源代码共享包在 iOS 中进行 facebook 集成,但收到错误“FT_Load_Glyph failed: glyph 65535: error 6”。我在另一台 mac 机器上尝试了
我正在尝试估计一个标准的 tobit 模型,该模型被审查为零。 变量是 因变量 : 幸福 自变量 : 城市(芝加哥,纽约), 性别(男,女), 就业(0=失业,1=就业), 工作类型(失业,蓝色,白色
我有一个像这样的项目布局 样本/ 一种/ 源/ 主要的/ java / java 资源/ .jpg 乙/ 源/ 主要的/ java / B.java 资源/ B.jpg 构建.gradle 设置.gr
如何循环遍历数组中的多个属性以及如何使用map函数将数组中的多个属性显示到网页 import React, { Component } from 'react'; import './App.css'
我有一个 JavaScript 函数,它进行 AJAX 调用以返回一些数据,该调用是在选择列表更改事件上触发的。 我尝试了多种方法来在等待时显示加载程序,因为它当前暂停了选择列表,从客户的 Angul
可能以前问过,但找不到。 我正在用以下形式写很多语句: if (bar.getFoo() != null) { this.foo = bar.getFoo(); } 我想到了三元运算符,但我认
我有一个表单,在将其发送到 PHP 之前我正在执行一些验证 JavaScript,验证后的 JavaScript 函数会发布用户在 中输入的文本。页面底部的标签;然而,此消息显示短暂,然后消失...
我是一名优秀的程序员,十分优秀!