# Sicherheit von Servlets



## joern1 (27. Mrz 2008)

Moin, 

bisher habe ich nur mit PHP gearbeitet. Gibt es in Java auch eine einfache Möglichkeit, d.h. eine fertige Methode, die
den Request validieren kann.  

in PHP gibt es z.B. stripTags() um HTML Code abzuschneiden.
oder htmlspecialchars() .

Ich suche nun nach äquivalenten Möglichkeiten in Java. Was kann man denn da machen ?


Viele Grüße
Jörn


----------



## maki (27. Mrz 2008)

???

Was war die Frage?

Sicherheit von Servlets?
Request validieren?
HTML Code abschneiden?

Hä???


----------



## joern1 (27. Mrz 2008)

Vielleicht binge ich da ja etwas durch den Tüddel. Ich würde gerne sotwas wie CSS oder eine SQL Injection vermeiden wollen.

z.B.


```
public void doPost (HttpServletRequest  req, HttpServletResponse  res)
    throws ServletException, IOException {	  

      
      firstName = req.getParameter("firstname");
      lastName  = req.getParameter("lastname");
```

Hier wird der Parameter einfach in der Variablen gespeichert, ohne zu wissen, was ich da nun eigentlich gespeichert habe.

Ich gebe doch ggf. eine HTML Seite zurück. Würde ich meine Ausgabe nicht validieren, könnte ich vielleicht
ein Javascript auseben o.ä.

Versteht du jetzt was ich damit meine ?


----------



## maki (27. Mrz 2008)

Nimm PreparedStatements um SQL Injects und andere Probleme (Behandlung des Semikolons etc.) zu vermeiden.

Wenn du mit Validieren meinst, JS zu unterbinden, dann ist das gar nicht notwendig imho, Spezielle Zeichen wie <, > etc. sollten sowieso maskiert sein, kommt aber auf den konkreten Fall an.


----------

