在准備好的語句中,setString()是防止SQL注入的唯一有用的方法嗎?
[英]In prepared statement is setString() the only useful method to prevent SQL injection?
問題描述
有什么需要使用:
pstatement.setInt();
pstatements.setFloat();
etc.
以及除setString()以外的所有其他方法(這是防止SQL注入的唯一有用方法)?
2 個解決方案
解決方案1
2 已采納 2015-01-29 15:17:28
這很簡單,大多數數據庫與發送參數和執行語句分開准備語句。 語句和參數的這種分離實際上為防止SQL注入提供了保護(與手動轉義和連接查詢中的字符串相反)。 這些參數的發送格式通常特定於數據庫中的數據類型。
假設您在數據庫和Java中都使用了相同的類型(例如BIGINT <> long , VARCHAR <> String , TIMESTAMP <> java.sql.Timestamp ),那么使用特定於類型的設置器將導致較少的轉換。 說int > 4字節big-endian編碼,而不是String > int > 4字節big-endian編碼。
而且,它還可以減少代碼的混亂程度,因為您不需要首先從特定於Java的數據類型轉換為String 。
現在JDBC確實為許多數據庫類型支持setString (有關轉換,請參見JDBC 4.2的附錄B),因此沒有什么可以阻止您僅使用setString 。 但是從易用性的角度來看,我不知道您為什么要這么做。 特定於類型的方法易於使用。
解決方案2
-1 2015-01-29 15:06:43
如果要在將輸入發送到要拒絕的數據庫之前對其進行驗證,則可以使用適當的“ set”語句,並在它們周圍放置try / catch塊。 這樣,您可以在向數據庫發送命令之前向用戶提供反饋。
使用預准備語句從用戶輸入創建數據庫以防止SQL注入
[英]Create database from user input with prepared statement to prevent SQL injection
如何在Java中構建查詢以防止使用預准備語句進行SQL注入
[英]How to build query in Java to prevent SQL injection using prepared statement
使用Order By的准備好的語句來防止SQL注入Java
[英]Using prepared statement for Order by to prevent SQL injection java
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.