【项目问题】如何校验表单中的特殊字符？
最近，一个项目在做功能测试的过程中遇到一些问题，主要是关于表单中特殊字符的校验，有以下几类：
（1）特殊标点符号：单引号、百分号……
（2）HTML标签：<html>、<table>……
（3）SQL关键字：or、and、<>……

每个表单都单独校验，这样工作量就太大了，路过的大神们，求思路

[解决办法]
http://blog.csdn.net/linlzk/article/details/3389919
[解决办法]
为什么要检验呢？防sql注入，jdbc的preparedStatement就行啦。hibernate的setParameter也可以放注入啊。
js和html脚本，显示的时候把< > 替换成 ＆lt;＆gt;就行啦，或者用struts1/2标签或jstl标签来显示就行啦。
<c:out escapeXML="true"/>
<bean:writer filter="true"/>
<s:property escape="true"/>
[解决办法]
Wep application安全方面的框架，你可以看看owasp 的esapi，再合jdk 的jce，web前端的各非法入等等都可以做到安全限制。
[解决办法]
用表单校验插件啊，jquery-easy-ui就不错，可以自己扩展。
nullCheck: {/* 不允许输入空 */
validator: function (value, param) {
return !(/^((A-Za-z\d[-_\~!@#\$%\^&\*\.\(\)\[\]\{\}<>\?\\\/\'\"]*))$|\s/.test(value));
},
message: '请正确输入'
},
nameCheck: {
validator: function (value, param) {
if(value.substring(0,1)!=" "&&value.substring(value.length-1,value.length)!=" "){
if(value.length <= 32){
return /^[\u3220-\uE76c\uE815-\uFA29\w, %]+$/.test(value);
}else{
return false;
}
}else{
return false;
}
},
message: '您的输入不合法'
},
........
然后在所有你需要校验的地方将key引进来就ok啦
<td class="widget_td">
<input type="text" name="userStandbyName" id="userStandbyName"
class="easyui-validatebox"
validType="nameCheck" value="${userStandbyName}" msg="用户别名"
max="13" />
</td>
[解决办法]
用正则表达式做吧！
[解决办法]
可以写个过滤器filter吧，把提交的特殊字符转换普通字符
[解决办法]

Java code

/**     * 化input,配置文件中取出的性取反，例如：配置如下行  this.canonicalize(input,true,true);     * Encoder.AllowMultipleEncoding=false      * Encoder.AllowMixedEncoding=false     * @param input 入的字符串     * @return String     * */    public static String canonicalize(String input) {        return ESAPI.encoder().canonicalize(input);    }    /**     * 化input 相於行  this.canonicalize(input,strict,strict);     * @param input 入的字符串     * @param strict 是否需要  多和混合     * @return String     * */    public static String canonicalize(String input, boolean strict) {        return ESAPI.encoder().canonicalize(input, strict);    }    /**     * 化input 相於行  this.canonicalize(input,strict,strict);     * @param input 入的字符串     * @param restrictMultiple 是否需要多     * @param restrictMixed    是否需要混合     * @return String     * */    public static String canonicalize(String input, boolean restrictMultiple, boolean restrictMixed)  {        return ESAPI.encoder().canonicalize(input, restrictMultiple, restrictMixed);    }        /**     * 字符串解成字集 （方式：Base64）     * @param input 入的字符串     * @return byte[]     * */    public static byte[] decodeFromBase64(String input) throws Exception {        return ESAPI.encoder().decodeFromBase64(input);    }    /**     * 解特殊字符的URL       * @param input 入的字符串     * @return String     * */    public static String decodeFromURL(String input) throws Exception {        return ESAPI.encoder().decodeFromURL(input);    }    /**     * 解特殊字符的HTML,如  '<'成'<'等       * @param input 入的字符串     * @return String     * */    public static String decodeForHTML(String input)  {        return ESAPI.encoder().decodeForHTML(input);    }        /**     * 字集成字符串 （方式：Base64）     * @param input 入的字集     * @param wrap 是否行     * @return String     * */    public static String encodeForBase64(byte[] input, boolean wrap) {        return ESAPI.encoder().encodeForBase64(input, wrap);    }    /**     * 字符串中的URL其的字符      * @param input 入的字符串     * @return String     * */    public static String encodeForURL(String input) throws Exception {        return ESAPI.encoder().encodeForURL(input);    }    /**     * 字符串中的HTML其的字符,如  '<'成 '<'等      * @param input 入的字符串     * @return String     * */    public static String encodeForHTML(String input) {        return ESAPI.encoder().encodeForHTML(input);    }        /**     * Encode data for use in HTML attributes.     * @param input 入的字符串     * @return String     * */    public static String encodeForHTMLAttribute(String input) {        return ESAPI.encoder().encodeForHTMLAttribute(input);    }    /**     * 字符串中的CSS其的字符      * @param input 入的字符串     * @return String     * */    public static String encodeForCSS(String input) {        return ESAPI.encoder().encodeForCSS(input);    }    /**     * 字符串中的JavaScript其的字符      * @param input 入的字符串     * @return String     * */    public static String encodeForJavaScript(String input) {        return ESAPI.encoder().encodeForJavaScript(input);    }    /**     * Encode data for use in LDAP queries.     * @param input 入的字符串     * @return String     * */    public static String encodeForLDAP(String input) {        return ESAPI.encoder().encodeForLDAP(input);    }    /**     * Encode data for use in an LDAP distinguished name.     * @param input 入的字符串     * @return String      * */    public static String encodeForDN(String input) {        return ESAPI.encoder().encodeForDN(input);    }    /**     * Encode data for use in an XPath query.      * @param input 入的字符串     * @return String     * */    public static String encodeForXPath(String input) {        return ESAPI.encoder().encodeForXPath(input);    }    /**     * Encode data for use in an XML element.      * @param input 入的字符串     * @return String     * */    public static String encodeForXML(String input) {        return ESAPI.encoder().encodeForXML(input);    }    /**     * Encode data for use in an XML attribute.     * @param input 入的字符串     * @return String     * */    public static String encodeForXMLAttribute(String input) {        return ESAPI.encoder().encodeForXMLAttribute(input);    }    /**     * Encode data for insertion inside a data value in a Visual Basic script.     * @param input 入的字符串     * @return String     * */    public static String encodeForVBScript(String input) {        return ESAPI.encoder().encodeForVBScript(input);    } 
 
[解决办法]
探讨


引用:
为什么要检验呢？防sql注入，jdbc的preparedStatement就行啦。hibernate的setParameter也可以放注入啊。
js和html脚本，显示的时候把< > 替换成 ＆lt;＆gt;就行啦，或者用struts1/2标签或jstl标签来显示就行啦。
<c:out escapeXML="true"/>
<bean……