[英]Does concatenated string that is later used in prepared statement cause sql injection?
我正在評估一段代碼來檢查 sql 注入的可能性。 我注意到,在制作准備好的語句之前,僅針對 where 條件(名為 strwhere)構造一個字符串,然后將其傳遞給創建准備好的語句的 function。 請注意,在使用字符串連接構建的 strwhere 中,這是否會引發 sql 注入? 或者只是傳遞給准備好的語句的事實消除了這種風險?
代碼:
String strWhere = whereString + " AND " + "(" + Table1.ID + "=" + ID + ")";
Rows = myTable.readRow(jdbcSource, stWhere);
在readRow function 中,它使用准備好的語句構建最終查詢。
是的,您顯示的代碼存在 SQL 注入的風險,具體取決於Table1.ID
和ID
的賦值方式。
不,使用准備好的語句並不能消除 SQL 注入的風險。
使用准備好的語句有助於確保參數不會導致 SQL 注入。 它不會阻止不受信任的數據進入語句的問題。 如果Table.ID
或ID
來自不受信任的來源,您仍然會遇到 SQL 注入問題。
您可以通過驗證或引用不受信任的值來解決此問題。 選項是:
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.