「Javaで書くときの注意点」の編集履歴(バックアップ)一覧はこちら
「Javaで書くときの注意点」(2008/06/25 (水) 15:44:46) の最新版変更点
追加された行は緑色になります。
削除された行は赤色になります。
*セキュリティ対策
-SQLインジェクション
-クロスサイトスクリプティング(XSS)
--XSSの詳細は[[こちら>http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0]]
--対策
---strutsを用いる場合、bean:writeタグなどはデフォルトで<>&などはエスケープしてくれるので問題ない。
---入力値がそのまま表示されるような場合は<>&など全てエスケープ処理をいれる対応をすればよい。
---テキストボックスなど直接的な入力値だけではなく、ラジオやhiddenなどもパラメータ改ざんできるため、出来うるか限りエスケープ処理をいれる。
以下のようなコードを入力値に加える
#asciiart(){
String str = hoge();
str = str.replaceAll("&", "&");
str = str.replaceAll("<", "<");
str = str.replaceAll(">", "> ");}
-リクエストパラメータ改ざん
*パフォーマンス
-Stringクラスの連結について
-StringBufferとStringBulder
-コネクション、resultsetの開発時
-よくある書き間違い
*セキュリティ対策
-SQLインジェクション
-クロスサイトスクリプティング(XSS)
--XSSの詳細は[[こちら>http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0]]
--対策
---strutsを用いる場合、bean:writeタグなどはデフォルトで<>&などはエスケープしてくれるので問題ない。
---入力値がそのまま表示されるような場合は<>&など全てエスケープ処理をいれる対応をすればよい。
---テキストボックスなど直接的な入力値だけではなく、ラジオやhiddenなどもパラメータ改ざんできるため、出来うるか限りエスケープ処理をいれる。
以下のようなコードを入力値に加える
#asciiart(){
String str = hoge();
str = str.replaceAll("&", "&amp;");
str = str.replaceAll("<", "&lt;");
str = str.replaceAll(">", "&gt; ");
}
-リクエストパラメータ改ざん
*パフォーマンス
-Stringクラスの連結について
-StringBufferとStringBulder
-コネクション、resultsetの開発時
-よくある書き間違い