任何人都知道一个好的库,我可以在插入字符串之前在其中运行字符串,这样可以去除sql / javascript代码?在jsp页面中运行。
理想情况下,lib将是:
预先感谢SO社区,他们将很乐意答复:)
Apache Commons lang StringEscapeUtils将为您提供一些帮助。它逃脱,不剥离。
http://commons.apache.org/lang/api/org/apache/commons/lang/StringEscapeUtils.html
编辑:转义可以避免注入攻击,因为它可以确保用户输入的数据不会作为代码执行,而是始终作为数据呈现给用户。
