XSS攻击

什么是XSS攻击？

简单来说就是当提交表单的时候提交了javascript脚本语言，比如说提交表单的时候在输入框输入了<script>alert("ssss")</script>，这会发生什么情况呢？比如说你在评论区提交了这个表单，那当你刷新页面的时候每次都会给你弹出一个alert框。

如何预防呢？

简单的做法可以写一个过滤器，将javascript里面的< 和 > 这些特殊符号进行转义，比如说<转义为&lt;。>转义为&gt;。等html能识别的字符。

 

SQL注入

#{} 和${}的区别

使用#{}会对sql进行预编译，就是相当于使用jdbc时的preparedStatement，sql语句中如果存在参数则会使用?作占位符，这种方式可以防止sql注入，并且在使用#{}时形成的sql语句，已经带有引号，例，select  * from user where username=#{userName} and password=#{passWord} 当调用这个sql时，会自动加上单引号变为：select  * from user where username='aaaa' and password='1111111'。

 

使用${}时的sql中的动态参数不会当做字符串处理，如果还是执行上面的这条sql的话：select  * from user where username=${userName} and password=${passWord} ，那么他会变成：select  * from user where username=aaaa and password=1111111，当然这样执行是会报错的，那为了解决这个问题的话是不是相对应的我们会在上面的那条sql进行一些处理，比如说加入单引号select  * from user where username='${userName}' and password='${passWord}'

这个时候我们执行的话也是能正常调用的，但是当在页面上我加一些东西，那么这个问题可能就很严重了，比如说我现在一个网站的登录页面输入一个网址：http://localhost/test/login?userName=aaaa&password=' or 1='1，这样我们的sql会变成select  * from user where username='aaaa' and password='' or 1='1'

因此在使用mybatis的时候尽可能使用#{}，这样可以防止sql注入。