1,凡是允许用户输入的地方,都是很危险的地方,一定要做检验。
2,不要以为前端JS校验过的数据传到后台就不需要检验了,仍然要验证。
3,在发送XML时,不管是客户端发给服务端,还是服务端发给客户端,标签中的文本内容以及属性值都要用StringEscapeUtil.escapeXML进行转义。
4,同第三条,执行sql时,参数要做escapeSQL处理。
5,连接用完通常都要关闭。
暂时就这些,先记下,以后再加。
1,凡是允许用户输入的地方,都是很危险的地方,一定要做检验。
2,不要以为前端JS校验过的数据传到后台就不需要检验了,仍然要验证。
3,在发送XML时,不管是客户端发给服务端,还是服务端发给客户端,标签中的文本内容以及属性值都要用StringEscapeUtil.escapeXML进行转义。
4,同第三条,执行sql时,参数要做escapeSQL处理。
5,连接用完通常都要关闭。
暂时就这些,先记下,以后再加。