StringEscapeUtils 클래스를 사용하여 LDAP 삽입 취약점의 코드를 보호하려면 어떻게해야합니까?

Question

StringEscapeUtils 클래스를 사용하여 LDAP 삽입 취약점으로부터 코드를 보호하려면 어떻게해야합니까? 어떻게해야합니까? searchBase, searchMask, scontrols?

try { 
do { 


NamingEnumeration<SearchResult> answer = null; 
try { 
    answer = ctx.search(searchBase, searchMask, scontrols); 
    printSearchEnumeration(answer); 
    if (maxSize == 0) 
    exceedLimit = false; 
    else { 
    if (list.size() >= maxSize) 

Answer 1

귀하는 LDAP 쿼리는 "안전한"문자가 포함되어 있는지 확인하기 위해 긍정적 인 검증 체계를 사용한다이

Escapes and unescapes Strings for Java, Java Script, HTML and XML. 만

로 StringEscapeUtils을 사용할 수 없습니다. 경우에 따라 특수 문자를 이스케이프 처리 할 수 ​​있지만 HTML 및 자바 스크립트 이스케이프 처리와 같이 일관성이 없습니다. OWASP's Preventing LDAP Injection in Java을 확인하십시오.