XML 注入攻击
本文关键字:攻击 注入 XML | 更新日期: 2023-09-27 17:55:26
防止XML注入攻击的最佳方法是什么?我想使用参数化,但没有像SQL那样的东西,所以我必须构建一个。我只是想知道建造一个最好的方法是什么,我应该清洁什么。
更新
对不起,这是给XPath的。我现在正在编写一个快速函数来删除所有单引号和双引号,但是有更好的方法吗?
许多 XPath 处理器/API 允许您在表达式中使用变量,因此您可以编写例如//A[@status=$param],其中 $param 的值由调用代码提供。如果你可以使用它,那就这样做,因为它可以防止所有的注入攻击。它也可能比使用字符串连接构造表达式更有效,因为它只需要编译一次。