[英]SonarQube false positive SQL injection
我有一個查詢,其確切值取決於幾個輸入參數。 它看起來有點像這樣:
final String otherColumns = includeExtras ? ", baz" : "";
final String otherRestriction = name.equals("fred") ? " and bar = baz" : "";
PreparedStatement stmt = conn.prepareStatement(
"select foo, bar" + otherColumns + "from t where x = y" + otherRestriction);
SonarQube報告說這是SQL注入漏洞,但實際上顯然所有“注入”都來自源代碼,而不是直接來自參數,因此不存在漏洞。
是否有標志或設置讓 SonarQube 花更多時間進行數據流分析,以便它可以看到這里沒有漏洞?
SQL 注入規則被引發,因為你不使用參數化查詢。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.