sql >> データベース >  >> RDS >> PostgreSQL

WHERE句が検索フォームから動的に構築されるときにSQLインジェクションから保護するにはどうすればよいですか?

    JDBC NamedParameterJDBCTemplate

    次のようなことができます:

    String sql = "select count(0) from T_ACTOR where first_name = :first_name";
SqlParameterSource namedParameters = new MapSqlParameterSource("first_name", firstName);
return namedParameterJdbcTemplate.queryForInt(sql, namedParameters);

    クエリ文字列を動的に作成してから、SqlParameterSourceを作成します 同様に。



    1. CassandraとMySQLに関するちょっとしたアドバイス

    2. OSXをYosemiteまたはElCapitanにアップグレードすると、MySQLが起動しません

    3. Hibernate session.beginTransaction()呼び出しとMysql Start Transaction

    4. T-SQLの前月のデータに基づいて欠落月の値を決定する方法