JAVA基础知识指导：Java编程人员应注意的编码准则5

会计考友

"净化"传送给其它系统的数据

　　所谓"净化"是指从用户输入的数据中清除恶意数据，如清除用户提交表单时的恶意的或错误的字符。程序设计者必须对传送到复杂的子系统(如命令外壳、关系型数据库、购买的商业软件组件)的所有数据进行"净化".攻击者有可能通过使用SQL 注入命令或其它注入攻击来调用这些组件中没有被使用的功能。这未必是输入验证问题，因为被调用的复杂的子系统并不理解调用过程中的前后关系。由于调用程序 理解前后关系，所以我们要在调用子系统之前对数据进行"净化".