sql >> Database >  >> RDS >> PostgreSQL

Hoe te beschermen tegen SQL-injectie wanneer de WHERE-component dynamisch wordt opgebouwd vanuit het zoekformulier?

Heb je de JDBC NamedParameterJDBCTemplate ?

Je kunt dingen doen als:

String sql = "select count(0) from T_ACTOR where first_name = :first_name";
SqlParameterSource namedParameters = new MapSqlParameterSource("first_name", firstName);
return namedParameterJdbcTemplate.queryForInt(sql, namedParameters);

en bouw uw queryreeks dynamisch op en bouw vervolgens uw SqlParameterSource op dezelfde manier.



  1. PHP gebruiken om een ​​HTML-tabel te maken van een MSQL-query, zonder dubbele rijen?

  2. Django AttributeError 'float' object heeft geen attribuut 'split'

  3. Generate_series in Postgres vanaf begin- en einddatum in een tabel

  4. MySQL-prestaties:lange zoekopdrachten identificeren