我的 QA 团队报告说,我们的应用程序可以使用 SQL 注入攻击。但是,我们的任何查询都是动态创建的,我们使用 API 来执行类似于 Hibernate 的查询,并且我们总是在执行查询之前准备语句,并且我们不使用存储过程。QA 团队正在使用 ZAP 扫描应用程序。那么,我需要做些什么来避免 ZAP SQL 注入警报?
问问题
347 次
我的 QA 团队报告说,我们的应用程序可以使用 SQL 注入攻击。但是,我们的任何查询都是动态创建的,我们使用 API 来执行类似于 Hibernate 的查询,并且我们总是在执行查询之前准备语句,并且我们不使用存储过程。QA 团队正在使用 ZAP 扫描应用程序。那么,我需要做些什么来避免 ZAP SQL 注入警报?