什么是XSS攻击?
简单来说就是当提交表单的时候提交了javascript脚本语言,比如说提交表单的时候在输入框输入了<script>alert("ssss")</script>,这会发生什么情况呢?比如说你在评论区提交了这个表单,那当你刷新页面的时候每次都会给你弹出一个alert框。
如何预防呢?
简单的做法可以写一个过滤器,将javascript里面的< 和 > 这些特殊符号进行转义,比如说<转义为<。>转义为>。等html能识别的字符。
SQL注入
#{} 和${}的区别
使用#{}会对sql进行预编译,就是相当于使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from user where username=#{userName} and password=#{passWord} 当调用这个sql时,会自动加上单引号变为:select * from user where username='aaaa' and password='1111111'。
使用${}时的sql中的动态参数不会当做字符串处理,如果还是执行上面的这条sql的话:select * from user where username=${userName} and password=${passWord} ,那么他会变成:select * from user where username=aaaa and password=1111111,当然这样执行是会报错的,那为了解决这个问题的话是不是相对应的我们会在上面的那条sql进行一些处理,比如说加入单引号select * from user where username='${userName}' and password='${passWord}'
这个时候我们执行的话也是能正常调用的,但是当在页面上我加一些东西,那么这个问题可能就很严重了,比如说我现在一个网站的登录页面输入一个网址:http://localhost/test/login?userName=aaaa&password=' or 1='1,这样我们的sql会变成select * from user where username='aaaa' and password='' or 1='1'
因此在使用mybatis的时候尽可能使用#{},这样可以防止sql注入。