我使用 MySQL 作为后端,使用 Spring 作为框架我知道 spring 不支持注入,这是否意味着数据库是安全的,我不必在 MySQL 中处理注入?
问问题
164 次
1 回答
0
SQL 注入是您绝对要避免的事情。这不是数据库或框架支持的东西。是攻击。你想避免的东西。它不会被任何框架解决。
您必须了解 SQL 注入攻击是什么以及它们何时会发生,并采用良好的编码实践来避免它们:始终使用准备好的语句,并且永远不要通过附加来自不受信任的来源的值来动态创建 SQL 查询。
简而言之,而不是做
String sql = "select a, b from some_table where d = '" + valueEnteredByUser + "'";
请执行下列操作:
String sql = "select a, b from some_table where d = ?"
然后创建一个准备好的语句并绑定valueEnteredByUser到查询参数。
就这么简单。
于 2013-05-11T19:14:31.763 回答