19
Spring的JdbcTemplate抽象提供了很多功能,但是它可以以防止SQL注入攻击的方式使用吗?Spring JDBC是否提供对SQL注入攻击的防护?
例如,您可以使用PreparedStatement和正确定义的参数化的保护类型。
A
回答
23
它当然是。这个例子是直接从春季3.0文档(但在2 *同):
String lastName = this.jdbcTemplate.queryForObject(
"select last_name from t_actor where id = ?",
String.class, 1212L);
正如你所看到的,它强烈青睐预处理语句(必须使用在幕后为你哪):用占位符(?)指定参数并提供一组对象以填充参数。 (最后一个参数是预期结果的类型,但是这不是对这个问题很重要。)
你也可以使用一个NamedParameterJdbcTemplate并在Map,这也许是效率较低,但肯定更记忆提供的参数。
相关问题
- 1. 用OpenCart保护SQL注入攻击2.3.0.2
- 2. 使用存储过程是否防止SQL注入/ XSXX攻击?
- 3. 防止SQL注入和XSS攻击
- 4. SQL注入攻击
- 5. SQL注入攻击
- 6. 防止MDX注入攻击
- 7. XSS攻击防护
- 8. psycopg2的“execute()”是否提供了足够的SQL注入预防?
- 9. 什么是对SQL Server的SQL注入攻击?我们如何防止它们?
- 10. SQL注入攻击和django
- 11. Erlang和SQL注入攻击
- 12. 这是否可以防止注入攻击?
- 13. React Native的Realm是否可以防止注入攻击?我已经用于SQL
- 14. SQL Server 2008表值是否容易受到SQL注入攻击?
- 15. 这些SQL查询中是否存在SQL注入攻击?
- 16. 是否存在缺少sql注入攻击的错误?
- 17. pgdb防止注入攻击吗?
- 18. 防止命令行注入攻击
- 19. PHP SQL注入防护
- 20. 本机SQL查询 - SQL注入攻击
- 21. Linq到sql和sql注入攻击
- 22. str_replace的这种用法足以防止SQL注入攻击吗?
- 23. 这段代码是否容易出现sql注入攻击?
- 24. 此代码是否容易受到SQL注入攻击?
- 25. 测试一个网站是否易受Sql注入攻击
- 26. FILTER_SANITIZE_STRING是否足以避免SQL注入和XSS攻击?
- 27. 我需要保护从SQL注入攻击
- 28. 最常用的SQL注入攻击
- 29. Rails是否提交表单需求保护以避免SQL注入或XSS攻击?
- 30. SQL注入攻击预防:我在哪里开始
酷 - 最主要的是,在Spring的API中使用参数化方法必须映射到底层Java PreparedStatements中的参数化方法,以保护保护。 – Brabster
他们应该做的; Spring的所有关于以更方便的方式实现最佳实践,并且已经建议使用PreparedStatement ...我记得尽管相当挑剔,我仍然在第一版Java 1.1中遇到的JDBC中建议使用它。 (我不知道所有的JDBC驱动程序是否都能正确使用它,但如果不这样做,我会认为这是一个不使用它的理由。) –