※上記の広告は60日以上更新のないWIKIに表示されています。更新することで広告が下部へ移動します。

セキュリティ対策

  • SQLインジェクション

  • クロスサイトスクリプティング(XSS)
    • XSSの詳細はこちら
    • 対策
      • strutsを用いる場合、bean:writeタグなどはデフォルトで<>&などはエスケープしてくれるので問題ない。
      • 入力値がそのまま表示されるような場合は<>&など全てエスケープ処理をいれる対応をすればよい。
      • テキストボックスなど直接的な入力値だけではなく、ラジオやhiddenなどもパラメータ改ざんできるため、出来うるか限りエスケープ処理をいれる。
以下のようなコードを入力値に加える

String str = hoge();
str = str.replaceAll("&", "&amp;amp;");
str = str.replaceAll("<", "&amp;lt;");
str = str.replaceAll(">", "&amp;gt; ");



  • リクエストパラメータ改ざん

パフォーマンス

  • Stringクラスの連結について
  • StringBufferとStringBulder
  • コネクション、resultsetの開発時
  • よくある書き間違い