在Java中动态创建的order by子句在Vercode扫描中显示为sql注入问题
[英]Dynamically created order by clause in java showing as sql injection issue in Vercode scan
问题描述
我目前正在按照veracode标准重构现有代码。 我有一段代码,其中Order By子句是根据用户输入动态创建的。 在Veracode中,建议使用命名参数,但这是不可能的。 下面是代码库。 请提供可能的解决方案。
orderClauses.append("ORDER BY ");
orderClauses.append(report.getSortColumn1()));
orderClauses.append(" ");
orderClauses.append(report.getSortOrder1());
1 个解决方案
解决方案1
0 2018-12-27 08:51:44
更改
orderClauses.append(report.getSortColumn1()));
像
...
Set<String> columnsSet;
// fill columnsSet for your query
...
String col = report.getSortColumn1();
col = columnsSet.has(col) ? col : "";
...
orderClauses.append(col);
...
//etc
或为带有反射,注释等的报告编写出色的类。
Checkmarx 扫描期间 Java 中 class.forname 的代码注入问题
[英]Code injection issue for class.forname in Java during Checkmarx scan
HP Fortify SQL注入关于Java中prepareStatement的问题
[英]HP Fortify SQL injection issue on preparedStatement in java
使用Order By的准备好的语句来防止SQL注入Java
[英]Using prepared statement for Order by to prevent SQL injection java
Checkmarx Postgres Query形成错误SQL注入错误,SQL二阶注入错误Java Springboot
[英]Checkmarx Postgres Query forming error SQL Injection error , SQL Second order injection error Java Springboot
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
SQL 注入漏洞与 Java 中的 order by 子句
Java Veracode 扫描 - SQL 注入的误报
在HQL order by子句中处理SQL注入
Java代码中的SQL注入问题
Checkmarx 扫描期间 Java 中 class.forname 的代码注入问题
Java:用户提供了条款:如何防止SQL注入?
HP Fortify SQL注入关于Java中prepareStatement的问题
订购后的SQL注入
使用Order By的准备好的语句来防止SQL注入Java
Checkmarx Postgres Query形成错误SQL注入错误,SQL二阶注入错误Java Springboot
相关标签