1. JSP 및 SQL injection 관련된 해킹을 막기위해서 사용.
(위험한 자바스크립트 코드 없애기)
/*
1.위험 문자를 삭제
content = content.replaceAll("<","<");
content = content.replaceAll(">",">");
content = content.replaceAll("&","&");
content = content.replaceAll("\"",""");
*/
1번처럼 사용하면 허술하고 귀찮다.
/*
* OSWASP 제공하는 보안 라이브러리를 이용해서 위험 문자를
* 삭제 할 수있다.
* https://www.owasp.org/index.php/Esapi)
* */
https://www.owasp.org/index.php/Esapi
jar파일 넣고 프로젝트의 build path 에 jar파일 추가해야한다.
Codec codec= new OracleCodec(); // 사용하는 DB의 종류로 Codec을 만들어야한다.
Board board= new Board();
title=ESAPI. encoder().encodeForHTMLAttribute(title);
title=ESAPI. encoder().encodeForSQL(codec,title);
board.setTitle(title);
Board board= new Board();
title=ESAPI. encoder().encodeForHTMLAttribute(title);
title=ESAPI. encoder().encodeForSQL(codec,title);
board.setTitle(title);
2. 업로드 파일은 절대 웹경로에 넣으면 안된다.
이 와 같은 폴더에 넣으면 안된다.
- Web Project 안
- Web Server (tomcat) 안의 경로
3.
'IT노트 > JAVA' 카테고리의 다른 글
| Spring POI EXCEL (Apache POI 엑셀 다운로드) (0) | 2015.04.13 |
|---|---|
| 개발자 보수교육3일차 (0) | 2015.03.19 |
| equalsIn(String value, String... compares) (0) | 2015.03.04 |
| 개발자 보수교육4일차 (0) | 2015.02.24 |
| 코딩습관 (0) | 2015.02.22 |
