我认为您正在使用JSP。
仅在 期间逃脱。那里的JSTL@L_403_1@标签是非常合适的。默认情况下,它会转义HTML实体。使用它可以显示每个 用户控制的输入,例如请求URL,请求标头和请求参数。
例如
<input type="text" name="foo" value="<c:out value="${param.foo}" />">
输入期间无需转义。XSS在原始Java代码和sql数据库中均无害。另一方面,您也宁愿将未修改的数据保存在DB中,以便仍可以看到用户实际 输入的内容,以便在必要时可以对可邮寄用户进行社交操作。
如果您想知道在输入过程中要转义的内容,那就是SQL injection。在这种情况下PreparedStatement,Statement只要您想在数据库中保存任何 用户控制的输入,只要使用而不是常规即可。
例如
create = connection.prepareStatement("INSERT INTO user (username, password) VALUES (?, MD5(?))");
create.setString(1, username);
create.setString(2, password);
create.executeUpdate();
602392714
清零编程群