NamedParameterJdbcTemplate 漏洞安全吗?
Is NamedParameterJdbcTemplate vulnerable safe?
我们正在使用 NamedParameterJdbcTemplate 来实现“IN”运算符功能。
使用NamedParameterJdbcTemplate是否存在SQL注入漏洞?
由于 NamedParameterJdbcTemplate 在内部使用 PreparedStatement 进行查询,如果您可以确保不通过某种方式连接用户的输入来构建 SQL 查询,而是使用占位符 :xxxx 来指定它们的值,它应该防止 SQL 注入,因为查询和用户输入的数据分别发送到数据库。
参考this了解为什么它可以通过这种分离来防止SQL注入的详细信息。
我们正在使用 NamedParameterJdbcTemplate 来实现“IN”运算符功能。 使用NamedParameterJdbcTemplate是否存在SQL注入漏洞?
由于 NamedParameterJdbcTemplate 在内部使用 PreparedStatement 进行查询,如果您可以确保不通过某种方式连接用户的输入来构建 SQL 查询,而是使用占位符 :xxxx 来指定它们的值,它应该防止 SQL 注入,因为查询和用户输入的数据分别发送到数据库。
参考this了解为什么它可以通过这种分离来防止SQL注入的详细信息。