允許指定列名使其具有潛在的SQL注入風險

Question

有人告訴我這兩種方法“您允許指定列名的事實是（SQL）注入風險”。 甚至是什么意思？ 由誰指定？ 我該如何解決？

public void tableChanged(TableModelEvent e) {
    int row = e.getFirstRow();
    int col = e.getColumn();
    model = (MyTableModel) e.getSource();
    String stulpPav = model.getColumnName(col);
    Object data = model.getValueAt(row, col);
    Object studId = model.getValueAt(row, 0);
    System.out.println("tableChanded works");
    try {
        new ImportData(stulpPav, data, studId);
        bottomLabel.setText(textForLabel());
    } catch (ClassNotFoundException e1) {
        e1.printStackTrace();
    } catch (SQLException e1) {
        e1.printStackTrace();
    }
}

public class ImportData {    

    public ImportData(String a, Object b, Object c)
            throws ClassNotFoundException, SQLException {
        PreparedStatement prepStmt = null;
        try {
            connection = TableWithBottomLine.getConnection();
            String stulpPav = a;
            String duom = b.toString();
            String studId = c.toString();
            System.out.println(duom);

            String updateString = "update finance.fin " + "set ? = ? " + "where ID = ? "+ ";";
            prepStmt = connection.prepareStatement(updateString);
            prepStmt.setString(1, stulpPav);
            prepStmt.setString(2, duom);
            prepStmt.setString(3, studId);              

        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            if (prepStmt != null)
                prepStmt.close();
            System.out.println("Data was imported to database");
        }  
    }   
}

Answer 1

甚至是什么意思？ :)

這意味着，如果更改了字符串，則可以放入SQL代碼以執行其他操作，例如更新密碼或限制對系統的訪問。

由誰指定？

可以訪問列名的任何代碼，僅當用戶有權訪問此字段時，這才是問題。

我該如何解決？

檢查用戶是否確實無法指定此列名，並忽略該消息

允許指定列名使其具有潛在的SQL注入風險

問題描述

1 個解決方案

解決方案1
1 2014-12-27 10:47:25

允許指定列名使其具有潛在的SQL注入風險

問題描述

1 個解決方案

解決方案1 1 2014-12-27 10:47:25

解決方案1
1 2014-12-27 10:47:25