AI 助理
备案控制台
开发者社区> 问答> 正文

对于Java应用用户请求传入的参数需要注意什么?

对于Java应用用户请求传入的参数需要注意什么?

展开
收起
松岛菜菜 2021-10-13 15:27:59 933 0
来自:开发者社区官方技术圈
1 条回答
写回答
取消 提交回答
  • 大葱蘸大酱2

    用户请求传入的任何参数必须做有效性验证。

    说明:忽略参数校验可能导致:

    page size 过大导致内存溢出

    恶意 order by 导致数据库慢查询

    任意重定向

    SQL 注入

    反序列化注入

    正则输入源串拒绝服务 ReDoS

    说明:Java 代码用正则来验证客户端的输入,有些正则写法验证普通用户输入没有问题,但是如果攻击人员使用的是特殊构造的字符串来验证,有可能导致死循环的结果。

    资料来源:电子书《阿里巴巴Java开发手册》,下载链接:https://developer.aliyun.com/topic/download?id=1092

    2021-10-13 15:34:22
    赞同 展开评论 打赏
问答标签:
Java应用 Java参数 Java请求 Java应用参数 Java应用请求
问答地址:
开发者社区 > 开发者社区官方技术圈 > 问答

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关问答
我下载了armsagent.zip解压并手动安装,在java服务中加上了那三个jvm参数,服务器也那
772
0
0
java jvm参数能加在启动命令里吗?
822
1
0
为一个互联网初创企业的技术负责人,小 A 在早期选择了阿里云的云服务器 ECS 并将 Java 应用
1428
1
0
ARMS中按转包给了容器内的agent监控,java应用后无法完全监控到,这个需要有什么特殊设置吗?
961
1
0
Java 语言中如何实现函数参数的输出(out)和输入输出(inout)?
674
1
0
这个我使用java加不加独有参数都可以正常调用成功,但是使用python调用就会报这个错误,参数什么
629
1
0
java注入接口4s延迟 显示注入成功,但是请求接口还是正常返回数据 没有4s的延迟,感觉注入没
617
1
0
Java中的用户想要扩展属性值该怎么办?
1294
1
0
security中应用程序和Java平台有什么关系呢?
626
1
0
云原生应用持续交付入门:基于云效部署java,选择【其他】-【云效运营活动验证】,找不到
914
0
0
来源圈子
更多
收录在圈子:
开发者社区官方技术圈
70059
+ 订阅
阿里云开发者社区官方技术圈,用户产品功能发布、用户反馈收集等。
问答排行榜
最热
最新
1 【大咖问答】对话PostgreSQL 中国社区发起人之一,阿里云数据库高级专家 德哥 1819015
2 据说在家办公的程序员是这样写代码的? 1793146
3 阿里云开放端口权限 690270
4 如何升级配置 536293
5 【藏经阁一起读(27)】本周推荐《Apache Flink案例集(2022版)》,你有哪些心得? 522850
6 【精品问答】python技术1000问(1) 514126
7 Flink Forward Asia 2021 有奖问答 512908
8 OceanBase 使用动画(持续更新) 359373
9 阿里云LNAMP(Linux + Nginx + Apache + MySQL + PHP)环境一键安装脚本 329801
10 OSS存储服务-客户端工具 321582
11 为体验实验室取一个新名字。 307477
12 企业邮箱发送邮件时,若出现投递失败产生退信,内容提示包含如下: the mta server of * reply:550 failed to meet SPF requirements 或者 the mta server of 163.com — 163mx01.mxmail.netease.com(220.181.14.141) reply:550 MI:SPF mx14,QMCowECpA0qTiftVaeB3Cg—.872S2 1442548128 http://mail.163.com/help 304089
13 Win Server 2003-2016 加密勒索事件必打补丁合集 295329
14 FLASH播放器,在IE浏览器下显示请确定您的域名已完成备案和CNAME绑定 284205
15 安全组详解,新手必看教程 277342
16 写code还是做管理,开发者如何进行职业规划? 269141
17 惊喜翻倍:免费ECS+免费环境配置~!(ECS免费体验6个月活动3月31日结束) 255880
18 阿里云手机和阿云浏览器连接问题专帖 235688
19 支付宝H5 下载的时候,提示 【请确保该下载文件来源安全,如需浏览,请长按网址复制后使用浏览器访问】 227821
20 请问阿里云邮箱如何开启SMTP服务啊! 225869
1 AI生成海报or人工手绘,哪个更戳你? 188
2 “AI +脱口秀”,笑点能靠算法去创造吗? 284
3 请教:通过按钮打开另外一个表单,并把其中一个值传递给另一个表单的其中一个字段。 175
4 AI宠物更适合当代年轻人的陪伴需求吗? 813
5 AI客服未来会完全代替人工吗? 1008
6 “云+AI”能够孵化出多少可能? 846
7 当AI频繁生成虚假信息,我们还能轻信大模型吗? 657
8 使用免费证书后 服务器浏览器访问没有问题,外网访问 显示证书不可信,使用同一种浏览器哦 204
9 FFA 2024 大会门票免费送!AI时代下大数据技术未来路在何方? 1631
10 为什么宜搭的流程流入到钉钉OA审批,钉钉OA审批要收钱啊。。。。 229
11 宜搭UPDATE或UPSERT一次更新数据超过100条怎么办? 谢谢各位大大帮帮忙!!! 200
12 通义千问2.5-7B-Instruct已经下载到本地为什么使还需要联网?而且最近下载模型也提示400 142
13 CUDA error: CUDA-capable device(s) is busy 181
14 AI时代,存力or算力哪一个更关键? 1280
15 求宜搭关联表单的更新方法!!! 359
16 全网寻找 #六边形战士# 程序员,你的 AI 编码助手身份标签是什么? 1328
17 老哥们有个需求想请教一下,十分感谢 351
18 关于“通义灵码”而言,这次更新后,他更加人性化,然而我更喜欢fittencode,理由如下 443
19 关于宜搭自定义页面的文本组件循环获取其它表单的子表单数据。 198
20 flink1.20.0 部署后发布报错,是怎么回事,各种配置都配置了 236

相关课程

更多
  • Java面试疑难点解析 - 面试技巧及语言基础
    3940
    61
    去学习
  • Java面试疑难点解析 - Java Web开发
    792
    36
    去学习
  • Java面试疑难点解析 - 系统架构及项目设计
    1652
    25
    去学习
  • Java编程入门
    19081
    30
    去学习
  • Java面向对象编程
    12958
    148
    去学习
  • Java高级编程
    10179
    162
    去学习
    • 推荐问答
    乘风问答官招募中!机械键盘免费拿

    相关电子书

    更多
    • Spring Cloud Alibaba - 重新定义 Java Cloud-Native 立即下载
    The Reactive Cloud Native Arch 立即下载
    JAVA开发手册1.5.0 立即下载

    相关实验场景

    更多
  • 对象和接口-2:常见用法
    19
    1.0小时
    去实验
  • 阿里云平台上进行Java程序的编译与运行
    721
    1.0小时
    去实验
  • 使用Count功能批量创建资源
    110
    1.0小时
    去实验
  • ROS模板参数动态展示
    409
    1.0小时
    去实验
  • 使用Java面向对象编写网络通信程序应用
    40
    1.0小时
    去实验
  • 手动部署Java Web环境(Alibaba Cloud Linux 2)
    1852
    1.0小时
    去实验