SimplifyDb 新特性【支持全局还原html 实体符】
夏理
在实际项目中都需要防止xss注入,有一种简单暴力的方法就是全局将前台参数中的html实体符转义。
这样存数据中的就是转义后的。
如前台输入
<h1>
数据中则存储
<h1>
这样在查询后就需要将转义符还原为实体符。
在SimplifyDb 2.0.10 以后直接配置 【unescape.html】属性为true 或者调用查询对象的 setUnescapeHtml 方法即可
说明:
此防止xss注入方案在项目中数据库设计就需要提前预留长度。如:name 字段,项目中限制为5-10位但是如果用户如果html 实体符后转义后的长度将大于 5-10 这样范围。所以通常类似这种多预留一些长度就ok
大家如果对此方案有更好的解决办法或者优化。欢迎评论提出
类似资料: