1. JSP 및 SQL injection 관련된 해킹을 막기위해서 사용.
(위험한 자바스크립트 코드 없애기)
/*
  1.위험 문자를 삭제
               content  =  content.replaceAll("<","&lt;");
   content  =  content.replaceAll(">","&gt;");
   content  =  content.replaceAll("&","&amp;");
   content  =  content.replaceAll("\"","&quot;");

               */
1번처럼 사용하면 허술하고 귀찮다.
               /*
               * OSWASP 제공하는 보안 라이브러리를 이용해서 위험 문자를 
               * 삭제 할 수있다.
               * https://www.owasp.org/index.php/Esapi)
               * */
https://www.owasp.org/index.php/Esapiesapi-2.1.0-dist.zip

jar파일 넣고 프로젝트의 build path 에 jar파일 추가해야한다.

       Codec codec= new OracleCodec(); // 사용하는 DB의 종류로 Codec을 만들어야한다.
             
              Board board= new Board();
             
              title=ESAPI. encoder().encodeForHTMLAttribute(title);
              title=ESAPI. encoder().encodeForSQL(codec,title);
              board.setTitle(title);

2. 업로드 파일은 절대 웹경로에 넣으면 안된다.
이 와 같은 폴더에 넣으면 안된다.
 - Web Project 안
 - Web Server (tomcat) 안의 경로 

3.




'IT노트 > JAVA' 카테고리의 다른 글

Spring POI EXCEL (Apache POI 엑셀 다운로드)  (0) 2015.04.13
개발자 보수교육3일차  (0) 2015.03.19
equalsIn(String value, String... compares)  (0) 2015.03.04
개발자 보수교육4일차  (0) 2015.02.24
코딩습관  (0) 2015.02.22
Posted by wychoi
,