参数化的静态/代码 SQL 语句是否会受到 SQL 注入攻击？

例如，假设我有以下简化的存储过程：我传递输入@PSeries_desc 是否意味着如果参数化了我会受到注入攻击？以前，这是一条动态 SQL 语句，并且代码是使用exec而不是sp_executesql执行的，所以它肯定容易受到攻击。

我对继承有一个奇怪的问题，我不明白为什么它不应该工作：

但是编译给了我以下错误

Type mismatch: cannot convert from ArrayList<B> to ArrayList<A> C.java /bla/src/de/plai/test line 8 Java Problem

理论和参数化测试有什么区别？

我对创建测试类时的实现差异不感兴趣，只是当您选择一个而不是另一个时。

在 Hudson/Jenkins 中，是否可以用字符串参数替换 Subversion 模块存储库 URL 中的整个字符串？我不想只替换版本或类似的东西，我想替换整个 url。

因此，当我运行构建时，我会收到 URL 提示，我会输入类似“http://scm.work.corp/svn/com.work.package/tags/project-4.0.0 .RELEASE”，它会检查并构建它。

能够替换“com.work.package”和“project-4.0.0.RELEASE”部分也是可以接受的。我基本上希望它是一项可以构建任何版本的工作。

我正在将我正在开发的 Web 应用程序切换到 PDO（从可怕且不安全的 mysql_query），并且在如何使现有查询适应新格式时遇到了一些困难。查询查找特定文件类型的媒体项：

GET 格式如下：jpg,png,gif

（下面的代码是转义的，但在这个例子中已经被简化了）

也许我以完全倒退的方式进行此操作，它应该使用 IN() 函数，但无论如何，我需要将其转换为参数化 PDO 语句，例如：

显然这行不通......但我正在努力提高效率和安全性，但收效甚微。我可能能够遍历文件类型以创建 SQL，然后再次遍历绑定......但想看看这里是否有人对不同的方法有明智的建议。

TL;DR：试图找到参数化 SQL 条件的动态列表的最佳方法。

提前致谢！

我正在写一份关于参数化查询（或准备好的语句）技术的报告。如果所有最新版本的数据库现在都支持这种技术，我必须写进去。我知道 mysql、sql server 和 oracle 都支持这个。其他人呢？

我有一个带有“隐藏”（推断）类型和具体值的数据类型。现在我尝试实现一个改变这两个但无法使其通过 GHC 的函数。

我的示例代码是这样的：

它产生的错误是这样的：

必须做些什么来完成这项工作？我必须更改数据结构吗？

编辑

我正在尝试扩展Don Stewart的解决方案以使用多态数据类型。我一直在玩实例定义，但最有希望的外观是这样的：

但这给了我另一个错误信息：

正如唐所说，我应该对如何实施感兴趣。

解决方案

经过更多的“玩”后，我终于想出了一些可行的方法。这对你来说好看吗？

用法：

我需要从指定的表中检索所有数据，并且不需要对数据进行强类型化，因此我将其作为数据表返回。

当我运行它时，我得到了错误

我无法弄清楚为什么这不起作用，因为我已经声明了@table。我知道这种方法对一些糟糕的 sql 攻击是开放的，所以我计划添加一些关于可以查询哪些类型的保护。

我不知道如何让参数化的@PATH 工作。

这是我的 web.xml

这是我的资源类：

当我在 URL http://my_web_app:8080/ND上执行 GET 或 POST 时，这两种方法都可以正常工作。但由于某些原因，URL http://my_web_app:8080/ND/NJ处的 GET 方法总是返回 404-NotFound。

我在这里做错了什么？

谢谢

我在使用参数化的 oracle 命令时遇到问题。该命令似乎可以识别所有字符串参数（：Id，：CreateUser），但不能识别字符参数（：Active）。

我尝试了不同的方法，但每次我使用这两种类型的参数时，char 参数都不会被识别。当仅考虑字符参数时，它可以正常工作，但会出错