xss攻击和sql注入防范

php

xss攻击防范

如果类似商品标题之类的，可以使用 strip_tags() 过滤，全部清除掉html标签。

如果类似商品描述之类的，可以使用 htmlspecialchars() 过滤，把html标签转义。

sql注入防范

数字类型参数，可以使用 (int)/intval() 强制转为整形。

字符串类型参数，可以使用 mysql_real_escape_string() 转义特殊字符。

java

xss攻击防范

输入时处理，使用 StringEscapeUtils.escapeHtml4()/HtmlUtils.htmlEscape() 来进行过滤。

输出时处理，使用 <c:out value="${msg}" /> 来进行过滤。

sql注入防范

StringEscapeUtils.escapeSql() 将SQL参数特殊字符转义。