相信很多搞J2EE开发的小伙伴们都有处理过XSS攻击,这种攻击常见的为JS脚本攻击,存在这种攻击,是因为我们太相信客户端传来的参数了,所以对任何客户端传来的参数都要进行XSS过滤,这种过滤的主要处理方法就是将参数通过转义保存到数据库中,也就是将'转义成"保存到数据库中,但是这又会引发另外一个问题,就是大家都知道&是oracle中的一个特殊字符,专门用来取参数的,当oracle检测到该参数时就会停止运行,等待用户输入参数,只不过你不输这个参数程序也不会报错,只是不会出结果,这就给模糊查询造成很大的麻烦。
所以这时就介绍一下这个解决办法,就是在模糊查询的时候利用正则表达式进行替换,将查询条件的转义字符替换成%,大家都知道%也是oracle中一个特殊字符,用来匹配任意个,当被替换以后,因为表示匹配任意个字符,所以模糊查询中的条件虽然被替换,但是也丝毫不影响查询,下面上正则表达式的替换代码。
正则表达式替换
为了防止sql注入,我们在使用Oracle模糊查询的时候常采用Oracle自带函数instr进行查询,这个函数在后面更新中会讲到,这个可以有力的避免sql注入,但使用这个函数就会在遇到&进行等待用户输入参数,所以可以使用上述方法进行替换。
3251
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
