最近项目进行安全测试,用appscan扫描出sql注入,发现在参数后拼入%uFF07这类字符后,会绕过拦截器直接访问到action,项目用的是ssh,请问怎么解决这类注入?能否在拦截器解决?
参数一带%uFF07,request怎么就是null了?
参数带%uFF07,拦截器request.getParameterNames()就会有异常,并且自动把带%uFF07的参数key和value自动忽略,也就检测不到有sql注入了,,,这样有个解决方法是可以在拦截器中用request.getInputStream()来获取IO流,即可检测到%,,,但是这样一个问题:getParameterNames()和getInputStream()又不能共存使用,,,,所以谁有更好的解决方法呢???