作者/来源:新睿云小编 发布时间:2020-02-10
Xml是一种文本标记语言,实际上是可以用来存储数据的。不过它跟数据库的差别还是挺大,像平常用的Access,Oracle和SQL Server数据库不同之处在于Xml仅仅用来存储数据,不像数据库可以进行数据分析!
Xml是纯文本数据,这是优点也是缺点!
1.1优点:
结构简单,跨平台性强!
不管任何平台,都能优秀的处理文本数据。
抗破坏性强!
复杂数据库,文件只要稍有损坏则无法显示!Xml即使有损坏,其余正常部分则可以显示出来。
1.2缺点:
只能存储,用途相对单一。
注意:Xml与HTML是相互补充的关系,Xml用来存储数据,Html用来显示数据!
xml作为数据存储/传递的一种标记语言,一定是会在通讯,交互等时候被使用的,那么编译语言/脚本语言需要读取xml来读取数据的时候,势必会解析xml格式的文本内容。
那么在解析的时候,如果攻击者可以控制xml格式的文本内容,那么就可以让编译语言/脚本语言接收到恶意构造的参数,若不加过滤,则会引起安全隐患。
2.1解决办法
解在网络上传输XML时,如果需要安全性,那么安全性应该由传输的协议来保证(如HTTPS)
以文件格式存储XML时,保证安全性的手段存储其他格式文件相同(如权限控制/加密等)决办法:
xml文件只是个格式化了的纯文本,用记事本打开就行了。如果你需要格式化+代码高亮的输出结果的话可以用一些高级点的编辑器,比如nodepad++,sublime text等,如果都没装然后只是想看看不修改的话用高级的浏览器也能实现这个效果,比如chrome。
3.1谷歌打开效果:
这种方式只能看,不能改……
谷歌打开Xml
3.2sublime text打开的效果
这个随意,可以改动。
sublime text打开Xml