Dai*_*ius 16 sql oracle jdbctemplate
要获取一些数据我正在创建一个SQL查询:)
当然有一些过滤和订购部分.
为了获得结果,我使用"NamedParameterJdbcTemplate",当我需要向"where"部分添加内容时,我使用参数map来防止注入.
但它与"order by"部分不同,因为没有自动转义(并且它是sql的一部分).此订单部分有时会填充来自用户的数据(直接),有时会从代码内部添加一些额外的排序参数.有一个问题:有时这个排序字段不仅包含列名,还包含sql语句.
现在,通过将一些字符(如')替换为空字符串来手动转义排序的每个参数,但是我们为代码设置的一些参数传递此规则有点复杂.
当您使用jdbc模板时,在查询的排序部分中阻止sql注入的最佳方法是什么?
为了防止数据库端的SQL注入,请查看DBMS_ASSERT内置的Oracle包:http://docs.oracle.com/cd/B28359_01/appdev.111/b28419/d_assert.htm
您可能会发现该SIMPLE_SQL_NAME函数将有助于防止针对您的ORDER BY子句的SQL注入.
希望能帮助到你...
| 归档时间: |
|
| 查看次数: |
1821 次 |
| 最近记录: |