Question

Функция PostgreSQL вызывается во внутренней базе данных следующим образом:

SELECT * FROM prepend('abcdefg');

Вызов функции PostgreSQL из клиентского интерфейса Java следующим образом:

"SELECT * FROM prepend('?');"

Будет ли это вызывать SQLинъекции?Есть ли лучший способ?

РЕДАКТИРОВАТЬ

Не хотите использовать PreparedStatement.Как насчет Java 8 Streams?

Roshana Pitigala · Answer 1 · 07 октября 2018

Использование java.sql.PreparedStatement - лучший вариант.Вот способ использования PreparedStatement в вашем случае,

String input = "abcdefg";
PreparedStatement ps = connection.prepareStatement("SELECT * FROM prepend(?)");
ps.setString(1, String.format("%s", input));

Java SQL-инъекция

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Java SQL-инъекция

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов