问题描述
嗨,
Oracle为dbms_assert包提供了可用于保护SQL注入的功能。我应该像下面这样在我的java应用程序中使用这个包吗?
从对偶中选择DBMS_ASSERT.sql_object_name ('test');
我没有看到人们在java应用程序中使用它。在程序中使用更多。是否也可以在java中使用。它会通过jdbc驱动程序避免SQL注入吗?我有疑问,因为它不会使用preparedstatement从java执行上述查询。
Oracle为dbms_assert包提供了可用于保护SQL注入的功能。我应该像下面这样在我的java应用程序中使用这个包吗?
从对偶中选择DBMS_ASSERT.sql_object_name ('test');
我没有看到人们在java应用程序中使用它。在程序中使用更多。是否也可以在java中使用。它会通过jdbc驱动程序避免SQL注入吗?我有疑问,因为它不会使用preparedstatement从java执行上述查询。
专家解答
在Java中避免SQL注入的最简单方法是使用绑定变量,即通过PreparedStatement
如果您从未在SQL语句执行中 * 直接 * 使用用户输入,那么您将永远不必担心SQL注入。
所以这是最简单/最好的方法。但是如果由于某种原因 (?) 你不能,那么DBMS_ASSERT将是一个适当的回退机制。
但是使用绑定变量。容易得多。
如果您从未在SQL语句执行中 * 直接 * 使用用户输入,那么您将永远不必担心SQL注入。
所以这是最简单/最好的方法。但是如果由于某种原因 (?) 你不能,那么DBMS_ASSERT将是一个适当的回退机制。
但是使用绑定变量。容易得多。
文章转载自ASKTOM,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
