簡體 English 中英

SonarQube 誤報 SQL 注入

[英]SonarQube false positive SQL injection

原文 2022-11-28 17:44:48 3 1 java/ jdbc/ sonarqube/ sql-injection

我有一個查詢，其確切值取決於幾個輸入參數。 它看起來有點像這樣：

final String otherColumns = includeExtras ? ", baz" : "";
final String otherRestriction = name.equals("fred") ? " and bar = baz" : "";
PreparedStatement stmt = conn.prepareStatement(
        "select foo, bar" + otherColumns + "from t where x = y" + otherRestriction);

SonarQube報告說這是SQL注入漏洞，但實際上顯然所有“注入”都來自源代碼，而不是直接來自參數，因此不存在漏洞。

是否有標志或設置讓 SonarQube 花更多時間進行數據流分析，以便它可以看到這里沒有漏洞？

1 個解決方案

SQL 注入規則被引發，因為你不使用參數化查詢。

在這里您可以找到有關它的更多詳細信息。

加強積極的錯誤SQL注入

[英]fortify positive false Sql injection

Java Veracode 掃描 - SQL 注入的誤報

[英]Java Veracode Scan - False Positive on SQL Injection

查找安全錯誤-真正的SQL注入還是誤報？

[英]Find Security Bugs - Real SQL injection or false positive?

SonarQube 魷魚中的假陽性：S2583

[英]False positive in SonarQube squid:S2583

循環中字符串連接的假陽性SonarQube違規

[英]False positive SonarQube violation on String concatenation in loop

Sonarqube魷魚：S2095假陽性

[英]Sonarqube squid:S2095 false positive

魷魚：S2583 –使用開關時，Sonarqube誤報

[英]squid:S2583 – Sonarqube false positive when using switch

Java ：（錯誤？）SonarQube 6.7.1 LTS中的肯定S2637

[英]Java: (false?) positive S2637 in SonarQube 6.7.1 LTS

Sonarqube沒有分析超一流的平等，並可能對NPE產生誤報

[英]Sonarqube not analyzing super class equals and potentially throwing a false positive for NPE

SonarQube靜態方法中的假陽性“應刪除未使用的私有方法”

[英]SonarQube false-positive “unused private methods should be removed” in static method

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 加強積極的錯誤SQL注入 Java Veracode 掃描 - SQL 注入的誤報查找安全錯誤-真正的SQL注入還是誤報？ SonarQube 魷魚中的假陽性：S2583 循環中字符串連接的假陽性SonarQube違規 Sonarqube魷魚：S2095假陽性魷魚：S2583 –使用開關時，Sonarqube誤報 Java ：（錯誤？）SonarQube 6.7.1 LTS中的肯定S2637 Sonarqube沒有分析超一流的平等，並可能對NPE產生誤報 SonarQube靜態方法中的假陽性“應刪除未使用的私有方法”

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM