Java框架和整代码审计实战\/--》ccys1473

预编译不是万能的，否则就不会出现这么多的SQL注入漏洞。order by后面的语句，是不能够用预编译进行处理的，只能通过拼接进行操作，因此需要手动过滤。

SQL注入漏洞的防范方法：

1、预编译

2、类型转换

xss漏洞的危害：

窃取Cookie，键盘记录，截屏，网页挂马，命令执行

xss漏洞产生的原因：

用户的输入没有经过处理便直接进行了输出

目录穿越漏洞简介

Web应用程序没有去检验文件名中是否存在“…/”等特殊字符，没有对访问的文件进行限制，导致目录穿越，读取到本不应读取到的内容

目录穿越漏洞的修复方法

对文件名进行过滤，防止出现“./”等特殊符号；采用ID索引的方法来下载文件，而不是直接通过文件名；对目录进行限制；合理配置权限

URL跳转漏洞简介