1.SQL Injection 的
这种类似如下:
String fzsFlag = this.getRequest().getParameter("fzsFlag");
listHql.append("and fzsFlag='"+fzsFlag+"'");
这类修改的方式一般是不允许SQL上直接拼。一般都是要改成
listHql.append("and fzsFlag= ? ");
params.add(fzsFlag);
2.Reflect_XSS_All_clients的问题。
这类问题是这样的解决的如:
String accNo = this.getRequest().getParameter("accNo");
对accNo进行一下特殊字符的排除
accNo = accNo.replace("<", "<");
accNo = accNo.replace(">", ">");
accNo = accNo.replace("&", "&");
accNo = accNo.replace("'", """);
accNo = accNo.replace("\"", """);