将没有参数的查询传递给 PreparedStatement 是否安全?
作者:user14520608 提问时间:1/29/2021
我对 Java 很陌生,所以这肯定是一个愚蠢的问题。 我经常读到,在处理被视为字符串的查询时,必须意识到 SQL 注入的风险。我还读到使用 PreparedStatements 是防止此类风险的好方...
准备语句 问答列表
Mybatis 混合预处理语句和 sql 注入
作者:Meadow 提问时间:3/25/2021
我有一个查询,我希望 Mybatis 将其视为其中一部分的 sql 注入,也将其视为准备好的语句。我使用的是 Mybatis xml 文件而不是注解。这是我想做的...... 我的 java 对象正...
如果我在 Execute 函数中绑定参数,我的 PDO 准备语句是否安全?
作者:pjk_ok 提问时间:6/4/2021
我有一些表单数据,我正在使用 PDO 准备语句将其写入数据库。 此表单数据在进入数据库的过程中使用函数和正则表达式进行 santized 和验证,当任何这些数据输出到它使用 .filter_var(...
请求参数导致 prepared 语句的 SQL 注入
作者:Juke 提问时间:6/4/2021
我看到一个SQL注入 SELECT count(id) FROM user WHERE code= 67 AND user.postal_code like UPPER('%AL%') 我将其设...
您能解释一下 jdbcTemplate 方法 preparedStatementCallBack 和 preparedStatementSetter 之间的区别以避免 sql 注入吗?
作者:Riya Jakhariya 提问时间:7/5/2021
我想避免在我的应用程序中注入 sql。有两种 jdbcTemplate 方法,如 public <T> T execute(String sql,PreparedStatementCallback<...
SQL DDL 代码,避免 SQL 注入攻击
作者:m_finn 提问时间:8/4/2021
以下代码被突出显示为 SQL 注入攻击的安全漏洞。 StringBuilder sb = new StringBuilder(); sb.Append("DROP DATABASE IF EXIST...
如何创建参数化 SQL 查询?我为什么要这样做?
作者:Jim Counts 提问时间:2/13/2009
我听说“每个人”都在使用参数化的 SQL 查询来防止 SQL 注入攻击,而不必使用每条用户输入。 你是怎么做到的?使用存储过程时是否会自动获得此信息? 所以我的理解是非参数化的: cmdText...
Postgres:同时使用准备好的语句和字符转义是否足以避免恶意用户输入攻击?
作者:JCollier 提问时间:10/5/2021
我假设如果我使用准备好的语句然后转义所有字符,任何用户抛出的输入都不会给我带来任何麻烦。但我知道有很多棘手的黑客,我对数据库不可穿透性的假设往往是错误的。这个问题假设我作为开发人员没有使用任何花哨的 ...
PreparedStatement 如何避免或防止 SQL 注入?
作者:Prabhu R 提问时间:10/17/2009
我知道 PreparedStatements 避免/防止 SQL 注入。它是如何做到的?使用 PreparedStatements 构造的最终表单查询是字符串还是其他方式?...
如何在没有 SQL 注入漏洞的情况下参数化 SQL 表
作者:Nigel 提问时间:11/18/2021
我正在编写一个 C# 类库,其中一项功能是能够创建与任何现有表的架构匹配的空数据表。 例如,这个: private DataTable RetrieveEmptyDataTable(string ...