Javaで書くときの注意点 - 技術いろいろ @ ウィキ

セキュリティ対策

• SQLインジェクション

• クロスサイトスクリプティング(XSS)
  • XSSの詳細はこちら
  • 対策
    • strutsを用いる場合、bean:writeタグなどはデフォルトで<>&などはエスケープしてくれるので問題ない。
    • 入力値がそのまま表示されるような場合は<>&など全てエスケープ処理をいれる対応をすればよい。
    • テキストボックスなど直接的な入力値だけではなく、ラジオやhiddenなどもパラメータ改ざんできるため、出来うるか限りエスケープ処理をいれる。

以下のようなコードを入力値に加える

String str = hoge();
str = str.replaceAll("&", "&amp;amp;");
str = str.replaceAll("<", "&amp;lt;");
str = str.replaceAll(">", "&amp;gt; ");

• リクエストパラメータ改ざん

パフォーマンス

• Stringクラスの連結について
• StringBufferとStringBulder
• コネクション、resultsetの開発時
• よくある書き間違い