PostgreSQL
 sql >> база данни >  >> RDS >> PostgreSQL

Как да се предпазим от SQL инжектиране, когато клаузата WHERE се изгражда динамично от формуляра за търсене?

Виждали ли сте JDBC NamedParameterJDBCTemplate ?

Можете да правите неща като:

String sql = "select count(0) from T_ACTOR where first_name = :first_name";
SqlParameterSource namedParameters = new MapSqlParameterSource("first_name", firstName);
return namedParameterJdbcTemplate.queryForInt(sql, namedParameters);

и изградете динамично своя низ на заявка, след което изградете своя SqlParameterSource по подобен начин.



  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Предаване на ResultSet в Postgresql функция

  2. Тестване на база данни в python, postgresql

  3. postgresql какъв е най-добрият начин за експортиране на конкретна колона от конкретна таблица от DB в друга

  4. стойността е твърде дълга за типа character varying(255) за дължина 100 000

  5. Съвети и трикове за навигация в общността на PostgreSQL