AI 助理
备案控制台
开发者社区 问答 正文

对于Java应用用户请求传入的参数需要注意什么?

对于Java应用用户请求传入的参数需要注意什么?

展开
收起
松岛菜菜 2021-10-13 15:27:59 941 分享 版权
来自: 开发者社区官方技术圈

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

1 条回答
写回答
取消 提交回答
  • 大葱蘸大酱2

    用户请求传入的任何参数必须做有效性验证。

    说明:忽略参数校验可能导致:

    page size 过大导致内存溢出

    恶意 order by 导致数据库慢查询

    任意重定向

    SQL 注入

    反序列化注入

    正则输入源串拒绝服务 ReDoS

    说明:Java 代码用正则来验证客户端的输入,有些正则写法验证普通用户输入没有问题,但是如果攻击人员使用的是特殊构造的字符串来验证,有可能导致死循环的结果。

    资料来源:电子书《阿里巴巴Java开发手册》,下载链接:https://developer.aliyun.com/topic/download?id=1092

    2021-10-13 15:34:22
    赞同 展开评论
问答标签:
Java应用 Java请求 Java参数 Java应用参数 Java应用请求
问答地址:
开发者社区 > 开发者社区官方技术圈 > 问答
相关问答
我下载了armsagent.zip解压并手动安装,在java服务中加上了那三个jvm参数,服务器也那
800
0
0
java jvm参数能加在启动命令里吗?
839
1
0
为一个互联网初创企业的技术负责人,小 A 在早期选择了阿里云的云服务器 ECS 并将 Java 应用
1461
1
0
ARMS中按转包给了容器内的agent监控,java应用后无法完全监控到,这个需要有什么特殊设置吗?
982
1
0
Java 语言中如何实现函数参数的输出(out)和输入输出(inout)?
735
1
0
这个我使用java加不加独有参数都可以正常调用成功,但是使用python调用就会报这个错误,参数什么
638
1
0
java注入接口4s延迟 显示注入成功,但是请求接口还是正常返回数据 没有4s的延迟,感觉注入没
633
1
0
Java中的用户想要扩展属性值该怎么办?
1305
1
0
security中应用程序和Java平台有什么关系呢?
640
1
0
云原生应用持续交付入门:基于云效部署java,选择【其他】-【云效运营活动验证】,找不到
926
0
0