HTMLTagFilter 사용시 쿼리 치환문제점
- 작성자 :
- 김*훈
- 작성일 :
- 2019-11-06 17:25:56
- 조회수 :
- 1,866
- 구분 :
- 개발환경
- 진행상태 :
- 완료
Q
web.xml 에 있는 HTMLTagFilter 를 사용하다보니 쿼리쪽에 치환되는값이 들어가 에러가나고있습니다.
예를들면
SELECT
ABC,
DEF
FROM CODE
WHERE TABLE_NM = 'T_D'
AND COL = 'REQ_USER_GUBUN'
#{cd} -->jsp에서 ajax를통해 cd 가 파라미터로 들어가가되는데 여기서문제는 cd 가 아래와같이 문자열로 들어가있습니다.
param = {
cd : "and cd <> '12' ",
};
이럴경우 아래와같이
AND CD & lt;& gt; '12' -> 이렇게 치환이되어 오류가나는데요 이럴경우 어떻게 해결해야하나요..크로스사이트 스크립팅을 적용은해야겠고 ..
적용을하면 쿼리쪽에서 에러가나니 어떻게해야하는지 방법을 모르겠습니다..
예를들면
SELECT
ABC,
DEF
FROM CODE
WHERE TABLE_NM = 'T_D'
AND COL = 'REQ_USER_GUBUN'
#{cd} -->jsp에서 ajax를통해 cd 가 파라미터로 들어가가되는데 여기서문제는 cd 가 아래와같이 문자열로 들어가있습니다.
param = {
cd : "and cd <> '12' ",
};
이럴경우 아래와같이
AND CD & lt;& gt; '12' -> 이렇게 치환이되어 오류가나는데요 이럴경우 어떻게 해결해야하나요..크로스사이트 스크립팅을 적용은해야겠고 ..
적용을하면 쿼리쪽에서 에러가나니 어떻게해야하는지 방법을 모르겠습니다..
A
안녕하십니까, 표준프레임워크센터입니다.
호출되는 메소드만 특정 HTMLTagFilter 부분에 Wrapper를 만들어
부분적으로 예외를 시켜줄 수 있으나 쿼리 호출 외에 해당 메소드에 포함된 다른 소스들도 HTMLTagFilter가 적용이 안됩니다.
단순 <> 가 치환되는게 문제시라면...쿼리를
<> 가 아닌 != 로 변경하시면 될 것 같습니다.
감사합니다.
호출되는 메소드만 특정 HTMLTagFilter 부분에 Wrapper를 만들어
부분적으로 예외를 시켜줄 수 있으나 쿼리 호출 외에 해당 메소드에 포함된 다른 소스들도 HTMLTagFilter가 적용이 안됩니다.
단순 <> 가 치환되는게 문제시라면...쿼리를
<> 가 아닌 != 로 변경하시면 될 것 같습니다.
감사합니다.