我正在做一个简单的注册表单,我需要在 url 中传递一些参数,但是我担心 java 中的安全性。在我以前使用的 PHP 中
mysql_escape_string
确保没有特殊字符传递给变量。但是我不确定Java中是否需要。
问题是:直接使用request.getAttribute(arg0)是否安全,还是我需要使用一些特殊方法来保护它?
问问题
298 次
1 回答
2
Java-escape string中提供了该问题的答案,以防止 SQL 注入。
我相信最好的办法不是将您的命令编码为字符串,而是使用 PreparedSatements 并使用其方法设置参数,如 SetInteger、SetBoolean 等。
于 2012-06-04T12:04:09.913 回答