Я хочу предотвратить "sql инъекцию" и "xss atack" в моем проекте весенней загрузки. Мой пример ниже вопроса.
- Может ли метод JpaRepository, например findOne (), предотвратить sql инъекция?
- Должен ли я использовать как метод StringEscapeUtils.escape Html4 () для параметра "PersonelNumber" xss atacks? (например:
..searchUser/<script>alert('1')</script>)
EmployeeController
@GetMapping("/searchUser")
public ResponseEntity searchUserByNo(@RequestHeader("personelNumber")String PersonelNumber) {
return ResponseEntity.ok(new BaseResultsDTO<>(employeeService.getEmployeeByNo(PersonelNumber)));
}
EmployeeService
public Employee getEmployeeByNo(String personelNumber){
employeeDao.findOne(personelNumber);
}