zity_chow 2015-07-13 03:19 采纳率: 0%
浏览 1924

springMVC JdbcTemplate 问题

项目用springMVC的JdbcTemplate查询数据库,网页上有些输入框可以让用户直接输入数据表字段和参数的,请问这样有没有SQL注入的危险?
例如:用户在网页上的输入框内填入“a=1 or b=1”,后端获取到这个值就直接拼接在SQL语句中,变成“select * from A where” + “a=1 or b=1”,然后利用JdbcTemplate查询数据库。

  • 写回答

3条回答 默认 最新

  • DreamTHT 2015-07-13 04:23
    关注

    sql拼接时为什么用 + 呢,用参数化赋值啊

    评论

报告相同问题?

悬赏问题

  • ¥15 我这模型写的不对吗?为什么lingo解出来的下面影子价格这一溜少一个变量
  • ¥50 树莓派安卓APK系统签名
  • ¥15 maple软件,用solve求反函数出现rootof,怎么办?
  • ¥65 汇编语言除法溢出问题
  • ¥15 Visual Studio问题
  • ¥20 求一个html代码,有偿
  • ¥100 关于使用MATLAB中copularnd函数的问题
  • ¥20 在虚拟机的pycharm上
  • ¥15 jupyterthemes 设置完毕后没有效果
  • ¥15 matlab图像高斯低通滤波