보안/시큐어코딩
[시큐어코딩실습] XPath 인젝션 취약점 제거
오픈이지
2014. 6. 21. 07:54
입력값을 검증하는 필터를 작성한다.
class XPathFilter {
public static String filter(String data){
data=data.replaceAll("[',()=\\[\\]:*/]","");
return data;
}
}
XPath 쿼리에 사용되는 입력값을 필터링하여 사용한다.
String expression
= "/addresses/address[@name='"+XPathFilter.filter(name)+"']/ccard";