java coding girl

目录定义原因分析风险预防措施定义由于程序中对用户输入检查不严格，用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。原因分析其本质是对于输入检查不充分，导致SQL语句将用户提交的非法数据当作语句的一部分来执行。由于我们的部分WEB应用，采用Jsp+JavaBean或SSH框架，代码中会有直接写SQL（或HQL）语句，而有些SQL是用拼串实现的。风险SQL盲注：如果系统屏蔽了详细的错误信息，那么对攻击者而言就是盲注入，

反射型XSS漏洞详解http://www.ttlsa.com/safe/xss-description/