java输入校验的方法是什么


这篇文章主要讲解了“java输入校验的方法是什么”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“java输入校验的方法是什么”吧!通常我们在进行字符串校验的时候需要对一些特殊字符进行过滤,过滤之后再进行字符串的校验。我们知道在java中字符是基于Unicode进行编码的。但是在Unicode中,同一个字符可能有不同的表示形式。所以我们需要对字符进行标准化。java中有一个专门的类Normalizer来负责处理,字符标准化的问题。我们看下面一个例子:输出结果:我们可以看到,虽然两者的Unicode不一样,但是最终表示的字符是一样的。所以我们在进行字符验证的时候,一定要先进行normalize处理。考虑下面的例子:其中uFE64表示的是,程序的本意是判断输入的字符串是否包含了尖括号,但是因为直接传入的是unicode字符,所以直接compile是检测不到的。我们需要对代码进行下面的改动:先进行normalize操作,然后再进行字符验证。我们经常会使用到格式化来对字符串进行格式化,在格式化的时候如果格式化字符串里面带有用户输入信息,那么我们就要注意了。看下面的例子:粗看一下没什么问题,但是我们的input中包含了格式化信息,最后输出结果:变相的,我们获取到了系统内部的信息,在某些情况下面,可能会暴露系统的内部逻辑。上面的例子我们应该将input也作为一个参数,如下所示:输出结果:我们知道Runtime.exec()使用来调用系统命令的,如果有恶意的用户调用了“rm -rf /”,一切的一切都完蛋了。所以,我们在调用Runtime.exec()的时候,一定要小心注意检测用户 香港云主机的输入。看下面的一个例子:上面的例子中,我们从系统属性中读取dir,然后执行了系统的ls命令来查看dir中的内容。如果有恶意用户给dir赋值成:那么系统实际上执行的命令就是:从而导致恶意的删除。解决上面的问题也有几个方法,第一个方法就是对输入做个校验,比如我们只运行dir包含特定的字符:第二种方法就是使用switch语句,限定特定的输入:还有一种就是不使用Runtime.exec()方法,而是使用java自带的方法。在正则表达式的构建过程中,如果使用用户自定义输入,同样的也需要进行输入校验。考虑下面的正则表达式:上面的表达式本意是想在public[1234]这样的日志信息中,搜索用户的输入。但是用户实际上可以输入下面的信息:最终导致正则表达式变成下面的样子:从而导致匹配所有的日志信息。解决方法也有两个,一个是使用白名单,判断用户的输入。一个是使用Pattern.quote()来对恶意字符进行转义。感谢各位的阅读,以上就是“java输入校验的方法是什么”的内容了,经过本文的学习后,相信大家对java输入校验的方法是什么这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是开发云,小编将为大家推送更多相关知识点的文章,欢迎关注!

相关推荐: CronTrigger和SimpleTrigger的区别

这篇文章主要介绍“Cr 香港云主机onTrigger和SimpleTrigger的区别”,在日常操作中,相信很多人在CronTrigger和SimpleTrigger的区别问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”CronT…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

Like (0)
Donate 微信扫一扫 微信扫一扫
Previous 08/26 11:51
Next 08/26 11:52

相关推荐