我有这样的查询 - SELECT * FROM TBL WHERE ...和(2,3,4) colname的当我准备查询(...)中使用PreparedStatement的(?)'中的colname),我应该调用什么setter方法来设置这些整数?整数在int数组中可用,大小也不相同。如果它很重要,那么数据库是MySQL,问题列是int类型的。
我只是偶然发现了另一个愚蠢的未被消毒的sql注入漏洞,我正在进行一个项目......我对此已经很厌倦了。 你有任何建议,如何消除这种不良的SQL语句,并执行准备好的语句,哪里可行?现在我更喜欢像 REVOKE DarnInlineDataStatements ON * TO xyz这样的解决方案,但是因为这似乎不大可能,用于查找这些事情的静态代码分析工具(可靠性)?或者 任何东西否则你会推荐? 编