这个问题很古老,但是也很现实,想了解一下
有,基本上都是走prepareStatment
别直接把表单参数拼入sql,别把表单中的字段名直接当字段名写入条件,就能防范大部分了。
来自炫酷的 NutzCN
https://github.com/Wizzercn/NutzWk/blob/bootstrap/src/main/java/cn/wizzer/common/processor/XssSqlFilterProcessor.java
也可参考这个动作链,对表单参数进行拦截。
