用户传入的任何参数都必须做有效性验证,如果忽略的话可能会导致哪些危害系统

如题所述

举报该问题

第1个回答 2022-03-09

1）page size 过大导致内存溢出。
2）恶意 order by 导致数据库慢查询。
3）任意重定向。
4）SQL 注入。
5）反序列化注入。
6）正则输入源串拒绝服务 ReDoS。
《阿里巴巴Java开发手册》第四条：强制用户请求传入的任何参数必须做有效性验证。
Java 代码用正则来验证客户端的输入，有些正则写法验证普通用户输入没有问题，但是如果攻击人员使用的是特殊构造的字符串来验证，则有可能导致死循环。

相似回答

typescript联合类型?答：any类型可以工作,但是可能会导致意外事故发生也可以尝试定义unknown类型 使用unknown类型就意味着我们需要进行类型检查,或者使用类型断言不过unknow也不是特别安全,比较安全的做法是为每一种类型添加一个接口但这意味着如果是给函数参数使用,我们需要创建不同函数或函数重载,才能对这些进行操作这样的处理方式不仅繁琐,...

vs弹窗edit遇到不适当的参数答：原因可能是参数的类型不正确，或者参数的取值范围不符合要求。例如，如果将一个字符串类型的参数传递给一个只接受整数类型的编辑框，就会导致参数不适当的错误。另外，如果传递的参数超出了编辑框的可接受范围，也会导致不适当的参数错误。解决这个问题的方法是检查参数的类型和取值范围是否与编辑框的要求相...

外贸企业出口退税申报系统10.0版 ,准备正式申报,显示要我更新代码,怎么...答：系统初始化将删除用户录入的数据,请谨慎使用。当在系统中已经录入了本企业的数据后,千万不要随意使用本功能,否则数据将被删除!!!但初始化不会删除系统配置中的设置。 4.2.2. 系统维护-系统配置-系统配置设置与修改 1-15 正式使用申报系统前应做好企业相关信息的配置。申报系统默认企业配置为虚拟企业信息,企业必须...

网络中什么是溢出啊?答：然而,C/C++ 语言导致内存溢出问题的可能性也要大许多。其他语言也存在内容溢出问题,但它往往不是程序员的失误,而是应用程序的运行时环境出错所致。 2. 当应用程序读取用户(也可能是恶意攻击者)数据,试图复制到应用程序开辟的内存缓冲区中,却无法保证缓冲区的空间足够时(换言之,假设代码申请了 N 字节大小的内存...

关于生物入侵者的例子答：其中水葫芦、水花生、紫茎泽兰、大米草、薇甘菊等8种入侵植物给农林业带来了严重危害，而危害最严重的害虫则有14种，包括美国白蛾、松材线虫、马铃薯甲虫等。国家环保总局公布的16种有害外来物种分别为：紫茎泽兰，薇甘菊、空心莲子草、豚草、毒麦、互花米草、飞机草、凤眼莲（水葫芦）、假高粱、蔗扁蛾...

java权限管理框架有哪些(java权限管理框架shiro)答：或者细粒度的验证某个用户对某个资源是否具有某个权限; (3)会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的; (4)加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储; (5)Web支持,可以非常容易的集成到Web环境;?

哪种暖气片好?答：1、铸铁暖气片在北方集体供暖的时代，大多数的北方家庭都是使用的铸铁式暖气片，甚至是很多北方人童年的回忆。铸铁式暖气片有着热惰性好、机械强度大、使用寿命长等优点，却由于其材质笨重，内腔粘砂容易损坏温控装置、生产制造不环保等缺点，国家已经不提倡使用，逐渐被淘汰出暖气片制造的舞台。2、钢制...

中国移动手机视频为什么登陆时显示数据接收失败?答：确信你没有安装过其他任何蓝牙驱动,XP SP2系统自带的忽略不计。如果之前装过其他驱动,请先卸载!任意选择IVT或者Widcomm驱动开始下一步骤,以下教程所有涉及驱动的步骤均有IVT和Widcomm两个版本,用来测试的分别是IVT1.6.1.4版本驱动以及Widcomm5.0.1.1200版本驱动,都可以很顺利完成共享。安装驱动时可能会出现一系列的未...

什么是OOP答：面向对象程序设计以对象为核心，该方法认为程序由一系列对象组成。类是对现实世界的抽象，包括表示静态属性的数据和对数据的操作，对象是类的实例化。对象间通过消息传递相互通信，来模拟现实世界中不同实体间的联系。在面向对象的程序设计中，对象是组成程序的基本模块。

大家正在搜

验证数字证书的有效性数据有效性和数据验证数据验证和数据有效性一样吗算出的数据怎么验证有效性 excel数据验证和数据有效性数据库有效性验证身份证有效性验证有效性验证需求有效性验证