【项目有关问题】怎么校验表单中的特殊字符
日期:2014-05-17 浏览次数:20602 次
【项目问题】如何校验表单中的特殊字符?
最近,一个项目在做功能测试的过程中遇到一些问题,主要是关于表单中特殊字符的校验,有以下几类:
(1)特殊标点符号:单引号、百分号……
(2)HTML标签:<html>、<table>……
(3)SQL关键字:or、and、<>……
每个表单都单独校验,这样工作量就太大了,路过的大神们,求思路
------解决方案--------------------
http://blog.csdn.net/linlzk/article/details/3389919
------解决方案--------------------
为什么要检验呢?防sql注入,jdbc的preparedStatement就行啦。hibernate的setParameter也可以放注入啊。
js和html脚本,显示的时候把< > 替换成 &lt;&gt;就行啦,或者用struts1/2标签或jstl标签来显示就行啦。
<c:out escapeXML="true"/>
<bean:writer filter="true"/>
<s:property escape="true"/>
------解决方案--------------------
Wep application安全方面的框架,你可以看看owasp 的esapi,再結合jdk 的jce,對web前端的各種非法輸入等等都可以做到安全限制。
------解决方案--------------------
用表单校验插件啊,jquery-easy-ui就不错,可以自己扩展。
nullCheck: {/* 不允许输入空 */
validator: function (value, param) {
return !(/^((A-Za-z\d[-_\~!@#\$%\^&\*\.\(\)\[\]\{\}<>\?\\\/\'\"]*))$|\s/.test(value));
},
message: '请正确输入'
},
nameCheck: {
validator: function (value, param) {
if(value.substring(0,1)!=" "&&value.substring(value.length-1,value.length)!=" "){
if(value.length <= 32){
return /^[\u3220-\uE76c\uE815-\uFA29\w, %]+$/.test(value);
}else{
return false;
}
}else{
return false;
}
},
message: '您的输入不合法'
},
........
然后在所有你需要校验的地方将key引进来就ok啦
<td class="widget_td">
<input type="text" name="userStandbyName" id="userStandbyName"
class="easyui-validatebox"
validType="nameCheck" value="${userStandbyName}" msg="用户别名"
max="13" />
</td>
------解决方案--------------------
用正则表达式做吧!
------解决方案--------------------
可以写个过滤器filter吧,把提交的特殊字符转换普通字符
------解决方案--------------------
最近,一个项目在做功能测试的过程中遇到一些问题,主要是关于表单中特殊字符的校验,有以下几类:
(1)特殊标点符号:单引号、百分号……
(2)HTML标签:<html>、<table>……
(3)SQL关键字:or、and、<>……
每个表单都单独校验,这样工作量就太大了,路过的大神们,求思路
------解决方案--------------------
http://blog.csdn.net/linlzk/article/details/3389919
------解决方案--------------------
为什么要检验呢?防sql注入,jdbc的preparedStatement就行啦。hibernate的setParameter也可以放注入啊。
js和html脚本,显示的时候把< > 替换成 &lt;&gt;就行啦,或者用struts1/2标签或jstl标签来显示就行啦。
<c:out escapeXML="true"/>
<bean:writer filter="true"/>
<s:property escape="true"/>
------解决方案--------------------
Wep application安全方面的框架,你可以看看owasp 的esapi,再結合jdk 的jce,對web前端的各種非法輸入等等都可以做到安全限制。
------解决方案--------------------
用表单校验插件啊,jquery-easy-ui就不错,可以自己扩展。
nullCheck: {/* 不允许输入空 */
validator: function (value, param) {
return !(/^((A-Za-z\d[-_\~!@#\$%\^&\*\.\(\)\[\]\{\}<>\?\\\/\'\"]*))$|\s/.test(value));
},
message: '请正确输入'
},
nameCheck: {
validator: function (value, param) {
if(value.substring(0,1)!=" "&&value.substring(value.length-1,value.length)!=" "){
if(value.length <= 32){
return /^[\u3220-\uE76c\uE815-\uFA29\w, %]+$/.test(value);
}else{
return false;
}
}else{
return false;
}
},
message: '您的输入不合法'
},
........
然后在所有你需要校验的地方将key引进来就ok啦
<td class="widget_td">
<input type="text" name="userStandbyName" id="userStandbyName"
class="easyui-validatebox"
validType="nameCheck" value="${userStandbyName}" msg="用户别名"
max="13" />
</td>
------解决方案--------------------
用正则表达式做吧!
------解决方案--------------------
可以写个过滤器filter吧,把提交的特殊字符转换普通字符
------解决方案--------------------
- Java code
/**
* 規範化input,從配置文件中取出的屬性取反,例如:配置如下則執行 this.canonicalize(input,true,true);
* Encoder.AllowMultipleEncoding=false
* Encoder.AllowMixedEncoding=false
* @param input 輸入的字符串
* @return String
* */
public static String canonicalize(String input) {
return ESAPI.encoder().canonicalize(input);
}
/**
* 規範化input 相當於執行 this.canonicalize(input,strict,strict);
* @param input 輸入的字符串
* @param strict 是否需要檢測 多種編碼和混合編碼
* @return String
* */
public static String canonicalize(String input, boolean strict) {
return ESAPI.encoder().canonicalize(input, strict);
}
/**
* 規範化input 相當於執行 this.canonicalize(input,strict,strict);
* @param input 輸入的字符串
* @param restrictMultiple 是否需要檢測多種編碼
* @param restrictMixed 是否需要檢測混合編碼
* @return String
* */
public static String canonicalize(String input, boolean restrictMultiple, boolean restrictMixed) {
return ESAPI.encoder().canonicalize(input, restrictMultiple, restrictMixed);
}
/**
* 將字符串解碼成字節集 (編碼方式為:Base64)
* @param input 輸入的字符串
* @return byte[]
* */
public static byte[] decodeFromBase64(String input) throws Exception {
return ESAPI.encoder().decodeFromBase64(input);
}
/**
* 解碼特殊字符為對應的URL實體
* @param input 輸入的字符串
* @return String
* */
public static String decodeFromURL(String input) throws Exception {
return ESAPI.encoder().decodeFromURL(input);
}
/**
* 解碼特殊字符為對應的HTML實體,如 '<'轉換成'<'等
* @param input 輸入的字符串
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
