关闭

SQL注入攻击

137人阅读 评论(0) 收藏 举报


1、通过JDBC方式操作时,要通过setString()的方式传人条件。

错误的做法:

  1. PreparedStatement ps = conn.prepareStatement("select * from some_table where name=" + name);  
  2. ResultSet rs = ps.executeQuery();  
正确的做法:

  1. PreparedStatement ps = conn.prepareStatement("select * from some_table where name=?");  
  2. ps.setString(1, name);  
  3. ResultSet rs = ps.executeQuery();  
2、如果一定要用拼接的方式的话。

Nutz提供了org.nutz.dao.Sqls.escapeFieldValue方法来进行处理,过滤掉可能的注入威胁。

  1. Statment st = conn.createStatement();  
  2. ResultSet rs = st.executeQuery("select * from some_table where name=" + Sqls.escapeFieldValue(name));  
1、通过JDBC方式操作时,要通过setString()的方式传人条件。

错误的做法:




[sql] view plaincopy
01.PreparedStatement ps = conn.prepareStatement("select * from some_table where name=" + name);
02.ResultSet rs = ps.executeQuery();

正确的做法:




[sql] view plaincopy
01.PreparedStatement ps = conn.prepareStatement("select * from some_table where name=?");
02.ps.setString(1, name);
03.ResultSet rs = ps.executeQuery();

2、如果一定要用拼接的方式的话。

Nutz提供了org.nutz.dao.Sqls.escapeFieldValue方法来进行处理,过滤掉可能的注入威胁。




[sql] view plaincopy
01.Statment st = conn.createStatement();
02.ResultSet rs = st.executeQuery("select * from some_table where name=" + Sqls.escapeFieldValue(name));



0
0

猜你在找
【直播】机器学习&数据挖掘7周实训--韦玮
【套餐】系统集成项目管理工程师顺利通关--徐朋
【直播】3小时掌握Docker最佳实战-徐西宁
【套餐】机器学习系列套餐(算法+实战)--唐宇迪
【直播】计算机视觉原理及实战--屈教授
【套餐】微信订阅号+服务号Java版 v2.0--翟东平
【直播】机器学习之矩阵--黄博士
【套餐】微信订阅号+服务号Java版 v2.0--翟东平
【直播】机器学习之凸优化--马博士
【套餐】Javascript 设计模式实战--曾亮
查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:250260次
    • 积分:5915
    • 等级:
    • 排名:第4261名
    • 原创:314篇
    • 转载:299篇
    • 译文:2篇
    • 评论:18条
    博客专栏
    最新评论