JSP，ASP和PHP安全编程

Youhaveaddedtheitem toyourbasket。 Yourtotalis $ Proceedto checkout

你注意到property='*'了吗？这表示用户在可见JSP页面中输入的值或直接通过查询字符串提交的所有变量将存储在匹配的bean属性中。

通常，用户提交请求如下：http://www.somesite.com/addToBasket.jsp？newItem=ITEM0105342但是不守规矩的用户呢？他们可能会提交：http://www.somesite.com /addToBasket.jsp?newItem=ITEM0105342&balance=0这样，balance=0信息存储在JavaBean中。当他们点击“chekout”结账时，费用是免费的。这与PHP中的全局变量引起的安全问题完全相同。这表明：“property='*'”必须谨慎使用！

三、长盛不衰的跨站脚本

跨站点脚本攻击涉及将恶意JavaScript，VBScript，ActiveX，HTML或Flash脚本插入到远程网页的HTML代码中，窃取浏览页面的用户的隐私以及更改用户的设置。销毁用户的数据。在大多数情况下，跨站点脚本攻击不会影响服务器和Web应用程序的运行，但会对客户端安全构成严重威胁。

四、时刻牢记SQL注入

一般的编程书籍不注重让他们从初学者开始就养成安全编程的习惯。着名的《JSP编程思想与实践》是向初学者演示用数据库编写登录系统（数据库是MySQL）

五、String对象带来的隐患

Java平台确实使安全编程更容易。 Java中没有指针，这意味着Java程序不再寻址地址空间中的任何内存位置，例如C.当JSP文件编译成.class文件时，会检查安全问题。例如，拒绝尝试访问超出数组大小的数组元素，这很大程度上避免了缓冲区溢出攻击。但是，String对象会给我们带来一些安全隐患。如果密码存储在Java String对象中，则密码将保留在内存中，直到它被垃圾回收或进程终止。即使垃圾收集完成，它仍将存在于空闲内存堆中，直到它被重用。密码字符串驻留在内存中的时间越长，窃听的风险就越大。更糟糕的是，如果实际内存减少，操作系统会将密码字符串页面调度到磁盘的交换空间，因此容易受到磁盘块窃听攻击。为了最小化（但不是消除）这种折衷的可能性，您应该将密码存储在char数组中并在使用后将其归零（String是不可变的且不能归零）。