ESAPI简介
ESAPI是一个免费、开源的Web应用程序安全控制组件,可以帮助编程人员开发低风险应用程序。
ESAPI是OWASP组织的一个开源项目,网址是: http://www.owasp.org/index.php/ESAPI
ESAPI很适合一个新的开发项目的安全组件,各版本的ESAPI包含如下基本设计:
具有一个安全接口集; 对每一种安全控制有一种参考实现; 对每一种安全控制可以有你自己的实现方法。很多著名的大公司开始将ESAPI作为自己保障Web应用程序安全的手段,包括美国运通公司,Apache基金会,世界银行等。
ESAPI对常见安全漏洞都提供对应的安全控制实现方法:
ESAPI使用示例:
使用ESAPI防止XSS的做法:
String safe = ESAPI.encoder().encodeForHTML( request.getParameter( "input" ) );
对用户输入“input”进行HTML编码,防止XSS。
使用ESAPI防止ORACLE数据库SQL注入的做法:
String sqlStr=“select name from tableA where id=”+
ESAPI.encoder().encodeForSQL(ORACLE_CODEC,validatedUserId)
+“and date_created”='“
+ ESAPI.encoder()。encodeForSQL(ORACLE_CODEC,validatedStartDate)+"'";
myStmt = conn.createStatement(sqlStr);