防止xss攻击与sql注入

XSS

xss表示Cross Site Scripting(跨站脚本攻击)，它与SQL注入攻击类似，SQL注入攻击中以SQL语句作为用户输入，从而达到查询/修改/删除数据的目的，而在xss攻击中，通过插入恶意脚本，实现对用户游览器的控制。Xss脚本攻击类型分为：非持久型xss攻击、持久型xss攻击。

1.非持久型xss攻击是一次性的，仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接，用户访问该链接时，被植入的攻击脚本被用户游览器执行，从而达到攻击目的。

2.持久型xss攻击会把攻击者的数据存储在服务器端，攻击行为将伴随着攻击数据一直存在。

防止Xss攻击：过滤表单提交的数据，将可疑的内容去掉。

1.继承HttpServletRequestWrapper类，使用装饰模式重写HttpServletRequest的获取参数方法

2.创建拦截器

　　

3.配置拦截器

SQL注入

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

防止sql注入的方法主要有：

1.使用存储过程

2.校验输入的字符串

3.参数化sql

在设计与数据库链接并访问数据时，在需要填入数值或数据的地方，使用参数 (Parameter) 来给值，用@或？来表示参数。