数据库-springMVC JdbcTemplate 问题——CSDN问答频道

springMVC JdbcTemplate 问题: 项目用springMVC的JdbcTemplate查询数据库，网页上有些输入框可以让用户直接输入数据表字段和参数的，请问这样有没有SQL注入的危险？
例如：用户在网页上的输入框内填入“a=1 or b=1”，后端获取到这个值就直接拼接在SQL语句中，变成“select * from A where” + “a=1 or b=1”，然后利用JdbcTemplate查询数据库。; 发布于：2015.07.13 03:19

| 评论0 | 收藏 | 浏览1841 |

0

: zity_chow

声望： 0

3个回答

按赞数排序

sql拼接时为什么用 + 呢，用参数化赋值啊

发布于：2015.07.13 04:23

评论 0 |

0

: DreamTHT

声望： 438

参数化赋值是什么意思？

发布于：2015.07.14 02:53

评论 0 |

0

: zity_chow

声望： 0

String str =获取传过来的字符串
“select * from A where” + str

发布于：2015.07.20 13:07

评论 0 |

0

: 丵鹰

声望： 2132

: 插入链接

本地上传网络图片

上传中...

浏览

上传图片

插入图片

立即提问

相似问题

1: 一般互联网应用的前端后台都用哪些技术？

0: HibernateTemplate.get获取不到实体对象

1: 多数据源springmvc+hibernate 切换问题在一次请求中多次切换不成功