SimplifyDb 新特性【支持全局还原html 实体符】

原创
2018/11/27 11:28
阅读数 61

在实际项目中都需要防止xss注入,有一种简单暴力的方法就是全局将前台参数中的html实体符转义。

这样存数据中的就是转义后的。

如前台输入

<h1>

数据中则存储

&lt;h1&gt;

这样在查询后就需要将转义符还原为实体符。 在SimplifyDb 2.0.10 以后直接配置 【unescape.html】属性为true 或者调用查询对象的 setUnescapeHtml 方法即可

说明:

此防止xss注入方案在项目中数据库设计就需要提前预留长度。如:name 字段,项目中限制为5-10位但是如果用户如果html 实体符后转义后的长度将大于 5-10 这样范围。所以通常类似这种多预留一些长度就ok

大家如果对此方案有更好的解决办法或者优化。欢迎评论提出

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部