如何防止我的网站在其中进行 sql 注入
我正在使用 Struts 2,DB MY sql。
问问题
1417 次
1 回答
0
我认为最好的方法是不要重新发明轮子并使用已有的工具。对于一个小型项目,我建议在查询数据库时简单地使用准备好的语句。
http://docs.oracle.com/javase/7/docs/api/java/sql/PreparedStatement.html
您还可以考虑使用像 Hybernate 这样的 ORM。但请确保按预期使用它。即使是 HQL 也容易受到注入的影响。请参阅:如果使用休眠,SQL 注入的安全性有多大
重要的是不要通过将查询字符串与来自不受信任来源的值连接来编写自己的本机查询。
于 2013-10-21T09:45:33.400 回答