java - java中如何过滤输入文本中的特殊字符以防止XSS攻击？-6ren

java - java中如何过滤输入文本中的特殊字符以防止XSS攻击？

转载作者：行者123 更新时间：2023-12-01 23:11:17

24

4

我试图阻止在用户名字段中提交特殊字符，例如(&、%、--、>、<)。下面是我编写的代码，但它没有得到遵守，我收到错误(未封闭的字 rune 字)。请告诉我我做错了什么，这是阻止这些特殊字符的正确方法吗？

  package pack.java;
  import pack.java.MyModel;
  import java.io.*;
  import java.lang.*;
  import javax.servlet.*;
  import javax.servlet.http.*;
  import javax.servlet.jsp.*;
  import javax.servlet.jsp.tagext.*;
  import java.sql.*;
  public class MyController extends TagSupport
  {

HttpServletRequest request;
HttpServletResponse response;
String msg="";
 String empid="";
public int doStartTag()throws JspException
{

     request=(HttpServletRequest)pageContext.getRequest();              
     response=(HttpServletResponse)pageContext.getResponse();
    return EVAL_PAGE;
   }    

   public void check()
 {

   HttpSession mysession=request.getSession();
   Connection con;
   CallableStatement stmt;
   ResultSet rs;
   JspWriter out=pageContext.getOut();
   int f=0;
     try
    {
   Class.forName("oracle.jdbc.driver.OracleDriver");
    }
       catch(ClassNotFoundException ex)
    {
       msg=ex.getMessage();
     }
    try 
   {


    String aa=(String)MyModel.name.trim();
    String bb=(String)MyModel.pass.trim();
    String cc="";
    String dd="";
     int i;
     int user =aa.length();
     int pass = bb.length();
     for (i=0; i<user; i++)
    {
    char u = aa.charAt(i);

    if ( u.equals(%) || u.equals(<) || u.equals(>) || u.equals(&) || u.equals(;) || 

         u.equals(') || u.equals(--) || u.equals(0))
    {
    out.println("Invalid Username !");
    }
     else 
    {
              cc+= u.toString();
    }
  } 
 con= DriverManager.getConnection ("jdbc:oracle:thin:@localhost:1521:XE","gaurav","oracle");
    stmt=con.prepareCall("select usercheck1(?,?) from dual");
    stmt.setString(1,cc);
    stmt.setString(2,bb);       
    rs=stmt.executeQuery();

  try
 {
   while (rs.next())
 {
   empid=rs.getString (1);     
  mysession.setAttribute("user",empid);
   if(empid!=null)
 {
  response.sendRedirect("/Myjsp/selectaction.jsp");
  }
  else
  out.println("InValid User");
  }
 }
  catch(Exception ex)
 {
   msg=ex.getMessage();
 }

 }
catch(SQLException ex)
 {
  msg=ex.getMessage();
  }
 } 
   public int doEndTag() throws JspException
 {  
    check();
   return EVAL_PAGE;
  }
 }

最佳答案

您在字 rune 字方面存在一些基本语法错误，例如 u.equals(%) 应该是 u.equals('%') 等，但您可以抛出如果您使用正则表达式，则可以删除大部分代码:

boolean ok = !username.matches(".*[%<>&;'\0-].*");

方括号中的字符是一个字符类，表示列出的字符中的“任何一个”。如果输入中存在任何这些字符，则整个表达式将匹配，因此此类匹配的否定意味着用户名不包含非法字符。

关于java - java中如何过滤输入文本中的特殊字符以防止XSS攻击？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/21935426/

24

4

0

文章推荐： java - CDI Servlet java.lang.NullPointerException

文章推荐： java、泛型和 getAll

文章推荐： java - 如何混合该方法以便显示所有因素？我还缺少一个因素

java - 查看端口问题中的元素[特殊]
我以一种特殊的方式收到以下错误。 The point at which the driver is attempting to click on the element was not scrolle
java - “特殊” APP用例
我有一些包含如下方法的编译库： public boolean foo(String userID) { Class ntSystemClass = Thread.currentThread()
MySQL 特殊 ORDER BY
假设我有下表 name | genre --------------------- book 1 | scifi book 2 | horror book 3
ios - 特殊 - 字符串中的汉字
我正在用代码进行语言翻译。 self.title.text = [NSString stringWithFormat:NSLocalizedString(@"Q%ld", nil), (long)qu
r - 询问〜特殊〜并返回答案的函数
我想这样做，但到目前为止，我所拥有的只是: print("Will you go out with me?") 我希望代码能够正常工作，以便人们可以回答“是/否”，如果回答是"is"，则将返回一条消息
c# - 特殊 HTML 字符
这个问题在这里已经有了答案: 关闭 11 年前。 Possible Duplicate: How can I decode html characters in c#? 我有来自 HTML 的字符，
javascript - 特殊 ucwords 的正则表达式
我想在 JavaScript 中对以下形式的字符串执行 ucwords()，它应该返回 Test1_Test2_Test3。我已经在 SO 上找到了一个 ucwords 函数，但它只需要空格作为新词
javascript - 两个数组的求和\相加(特殊)
“任何长度的正数表示为数字字符数组，因此介于‘0’和‘9’之间。我们知道最重要的密码位于数组索引 0 的位置。例子: - 号码是 10282 - 数组将是数字 = [1,0,2,8,2] 考虑到这一
Android 特殊 Unicode 字符
我目前正在开发一个显示特殊 unicode 字符(例如 ꁴ)的应用现在我遇到了在旧设备上无法显示这些符号的问题。我如何知道它是否适用于当前设备？我是否必须为每个 SDK 版本创建一个虚拟 Andr
html - 特殊 HTML 构造标签的名称
在 HTML、XML 和部分 DTD 中，有两种特殊的标记结构: 以感叹号开头的标签结束，例如和以问号开头的标签，例如和我的问题是，这些构造类型中的每一种是否都有不同的名称，或者我是否必
Python stdout 重定向(特殊)
我目前正在用 python 构建一个 shell。shell 可以执行 python 文件，但我还需要添加使用 PIPE 的选项(例如“|”表示第一个命令的输出将是第二个命令的输入)。为了做到这一点
c# - 特殊 MVC 路由不起作用
我的 MVC 项目中的路由无法正常工作... 我希望我所有的 View 都在 Views > Shared 文件夹中，如下所示: Error.cshtml (default) Index.cshtml
Java - 特殊 URL 字符
我有一个函数: public static ImageIcon GetIconImageFromResource(String path){ URL url = ARMMain.class.g
html - 特殊 HTML 字符
好的，所以我想在我的 html 页面中包含下面的字符。看起来很简单，只是我找不到它们的 HTML 编码。注意:我想在没有大小元素的情况下执行此操作，纯文本就可以了 ^_^。干杯。最佳答案你可以
java - 特殊 Java 注释标签的完整列表
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题，以便用事实和引用来回答。关闭 3 年前。
c# - 特殊(或外国)字符
我是 C# 的新手，正在尝试使用 ASP.Net GridView(框架 3.5)，当 gridView 文本包含以下内容时，我发现了一个大问题: ñ/Ñ/á/Á/é/É/í/Í/ó/Ó/ú/Ú or
特殊 URL 的 Java 正则表达式
在 Java 中，我尝试编写一个正则表达式来匹配特殊类型的 HTTP URL: http:///# 所以字符串有 4 段: 字符串文字:“http://”；那么任意 1 个以上字符的字符串；那么字
mysql 有内部(特殊)字 "to"吗？
当我写查询时，我在表中有“to”列 SELECT to FROM mytable mysql_error 返回错误，如果将单词to插入``引号，即 SELECT `to` FROM mytable 查
python - 匹配大写/特殊/unicode/越南字符的正则表达式
我遇到了一个问题。事实上，我使用越南语文本，我想找到每个包含大写字母(大写字母)的单词。当我使用“re”模块时，我的函数 (temp) 没有捕捉到像“Đà”这样的词。另一种方法 (temp2) 是一次
python - 替换多个(特殊)字符 - 最有效的方法？
在我的文本中，我想用一个空格替换以下特殊字符: symbols = ["`", "~", "!", "@", "#", "$", "%", "^", "&", "*", "(", ")", "_",

首页

博学

6Ren·AI

商城

java - java中如何过滤输入文本中的特殊字符以防止XSS攻击？