给定以下功能:
public void foo(Connection conn)
{
PreparedStatement statement = conn.prepareStatement("Select a from table");
statement.execute();
}
使用在Connection
其他地方实例化的对象(无论是应用程序的外部还是内部都无关紧要)。允许应用程序的 API 中的函数接受未验证的函数是否会出现任何安全问题Connection
?例如,未经验证的连接会诱使我的应用程序运行恶意查询吗?