0
我想让我的查询SQL注入证明。我正在使用couchbase表达式来构建与用户输入查询表达式中的SQL注入保护
private GroupByPath getSearchStatement(SearchParams searchParams) {
String bucketName = asyncBucket.name();
Expression expression = x("sample_id").eq(s(searchParams.getSampleId()));
String selectStatement = bucketName + ".*";
return select(selectStatement)
.from(bucketName)
.where(expression);
}
此代码SQL注入安全吗?或者我必须做任何额外的事情。
这看起来不像我的Couchbase。 –
@TimBiegeleisen它是。 'GroupByPath'是一个Couchabse Java sdk接口 - http://docs.couchbase.com/sdk-api/couchbase-java-client-2.2.8/com/couchbase/client/java/query/dsl/path/GroupByPath。 html – nbokmans
通过它的外观,取决于['s(..)'](http://docs.couchbase.com/sdk-api/couchbase-java-client-2.3.5/com/couchbase/client /java/query/dsl/Expression.html#s-java.lang.String...-)正确地转义输入。会这样认为,但这只是一个猜测。 – zapl