A prepared statement is generated from a nonconstant String

最新推荐文章于 2022-06-23 20:08:26 发布
最新推荐文章于 2022-06-23 20:08:26 发布
阅读量6.2k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CYZERO/article/details/8482485
版权

Findbugs报错:

A prepared statement is generated from a nonconstant String

The code creates an SQL prepared statement from a nonconstant String. If unchecked, tainted data from a user is used in building this String, SQL injection could be used to make the prepared statement do something unexpected and undesirable.


修改方法:
java.sql.PreparedStatement如果含有变量,改成?,然后用setString、setInt等方法替代。例如

            prepareStatement = conn.prepareStatement("insert into tableName (id,name) values (?,?)");

            prepareStatement.setString(1, value1);

            prepareStatement.setString(2, value2);


CYZERO
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Optical and structural properties of Ag(Cu)–As2Se3 chalcogenide films prepared by a photodoping.pdf
02-27
经典利用纳米Ag,Cu掺杂的硫系玻璃薄膜,推荐下
对PostgreSQL的prepared statement 的理解
weixin_34326429的博客
06-14 511
http://www.postgresql.org/docs/9.2/static/sql-prepare.html PREPARE creates a prepared statement. A prepared statement is a server-side object that can be used to optimize performance. When the PREP...
[Z]关于prepared statement
weixin_33785108的博客
11-18 151
http://zhaonjtu.iteye.com/blog/139276 http://www.importnew.com/5006.html
Prepared statement peculiarities (P_S to the rescue)
Andes Home 千年的塔 -十年技术,风雨兼程
05-30 549
转自http://mysqlblog.fivefarmers.com/2012/07/03/prepared-statement-peculiarities-p_s-to-the-rescue Prepared statements have been with MySQL since version 4.1, including the protocol plumbing that hel
Prepared statement
kezhen的专栏
03-25 2993
http://en.wikipedia.org/wiki/Prepared_statement In database management systems, a prepared statement or parameterized statement is a feature used to execute the same or similar database statement
对PostgreSQL的prepared statement的深入理解
weixin_33697898的博客
06-18 348
看官方文档: http://www.postgresql.org/docs/current/static/sql-prepare.html PREPARE creates a prepared statement. A prepared statement is a server-side object that can be used to optimize performance. W...
什么要使用 PreparedStatement
unknownpeople的博客
01-16 617
1、 PreparedStatement 接口继承 Statement, PreparedStatement 实例包含已编译的 SQL 语句,所以其执行速度要快于 Statement 对象; 2、 作 为 Statement 的 子 类 , PreparedStatement 继 承 了 Statement 的 所 有 功 能 。 三 种 方法 execute、 executeQuery 和 ex...
SQL注入,PreparedStatementStatement
qq_40180411的博客
07-30 203
在SQL中包含特殊字符或SQL的关键字(如:' or 1 or ')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用PreparedStatement来解决。 PreperedStatement(从Statement扩展而来)相对Statement的优点:     1.没有SQL注入的问题。     2.Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢...
java 防sql preparedstatement_PreparedStatement是如何防止SQL注入的?
weixin_32323465的博客
02-26 199
为什么在Java中PreparedStatement能够有效防止SQL注入?这可能是每个Java程序员思考过的问题。首先我们来看下直观的现象(注:需要提前打开mysql的SQL文日志)1. 不使用PreparedStatement的set方法设置参数(效果跟Statement相似,相当于执行静态SQL)String param = "'test' or 1=1";String sql = "sel...
sql注入问题解决——PrepareStatement
LeeBingNing的博客
01-16 4173
SQL注入攻击 -- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功. SELECT * FROM USER WHERE NAME='xxxx' AND PASSWORD='xxx'; -- sql注入: 请尝试以下 用户名和密码. /* 用户名:    密码: xxx */ -- 将用户名和密
JAVA-使用PrepareStatement避免SQL注入
dxm809的博客
12-27 414
package com.dxm; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; imp...
Findbugs修改总结
linsa_pursuer的博客
06-23 4812
Findbugs修改总结
findbug规则说明
qq_29638051的博客
07-30 1196
IMSE_DONT_CATCH_IMSE 不良实践 - 捕获可疑IllegalMonitorStateException BX_BOXING_IMMEDIATELY_UNBOXED 性能 - 基本类型包装之后立刻解包 IJU_SETUP_NO_SUPER 使用错误 - TestCase定义的setUp没有调用super.setUp() TQ_ALWAYS_VALUE_USED_WHERE_NEVER_REQUIRED 使用错误 - 某个值使用了注解限制类型,但是这个限制永远不会...
FindBugs Bug Descriptions
热门推荐
pinuo的专栏
07-03 1万+
This document lists the standard bug patterns reported by FindBugs version 1.3.9.Summary Description Category AM: Creates a
1390 Prepared statement contains too many placeholders
angelina_zf的博客
10-03 3949
Mysql占位符使用过多错误
pgpool 遭遇bug portal prepared statement does not exist
cudi7618的博客
05-15 858
在pg 的测试中,发现了一个bug portal "" prepared statement 3234342 does not exist 这个错误,目前已经可以重现了,基本可以确定是一个bug ...
JDBC(PreparedStatement,sql注入)
各种西瓜的博客
03-23 599
sql注入SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。简单的说就是由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。假设我的
prepared statement能阻止SQL注入吗
最新发布
06-03
是的,使用prepared statement可以有效地阻止SQL注入攻击。prepared statement是指在编写SQL语句时,将参数用占位符(?)代替,然后再将参数值传递给这些占位符,最后执行SQL语句。当使用prepared statement时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值