Meilleur moyen de valider la saisie utilisateur JDBC?
https://stackoverflow.com/questions/145728
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Existe-t-il un moyen intégré permettant à l'utilisateur d'entrer en Java en utilisant JDBC ? Quelque chose de similaire à la fonction php mysql_real_escape () . Quel est le meilleur moyen de valider une entrée?
La solution
Si vous voulez savoir comment vous assurez que la saisie de l'utilisateur ne peut pas être utilisée dans les attaques par injection SQL, la manière de procéder (et la façon dont tout le code SQL doit être écrit en JDBC) utilise les instructions préparées. JDBC gérera automatiquement toutes les échappées nécessaires.
http://java.sun.com/docs /books/tutorial/jdbc/basics/prepared.html
Autres conseils
Pour ajouter à la suggestion de @skaffman, PreparedStatements résout le problème pour la majorité des applications. Cependant, il existe certaines applications où (des parties d’instructions SQL) (par opposition à des valeurs de paramètres uniquement) sont extraites de la saisie de l’utilisateur (par exemple, un paramètre d’URL contenant la clause ORDER BY). Assurez-vous simplement de les désinfecter ou, mieux encore, évitez ces conceptions si possible.
