当用户在Tomcat Webapp中提交表单时,我愿意使用"OWASP ESAPI for Java"来清理用户的输入。
过去我使用org.apache.commons.lang.StringEscapeUtils
进行如下处理:
public static String myEscapeHtml(String s)
{
String s_escapedString = null;
s_escapedString = StringEscapeUtils.escapeHtml(s);
return s_escapedString;
}
我已经不确定这样是否足以“合理”地保护Web应用程序了...
我想知道应编写哪些代码来使用OWASP ESAPI对Tomcat Web应用程序用户输入进行清理。
您能否给出一个例子,其中一个或多个ESAPI“过滤器”(转义?编码?...)将应用于字符串以对其进行清理?
后端RDBMS是PostgreSQL。
Tomcat服务器可以在Linux服务器或Windows服务器上运行。
谢谢,祝好。