qq_34819427 2018-10-05 07:16 采纳率: 0%
浏览 840

请问这种写法会发生sql注入问题吗

用的spring jdbc,这样算不算拼接sql语句,会产生sql注入问题吗

@Override
public List getUserListByUserIdAndName(Long userId, String userName) {
List userList = this.getJdbcTemplate().query(
"SELECT * FROM user WHERE is_display = true AND check_id = ? AND user_nam e = ?", this.getRowMapper(), userId, userName);
return userList;
}

  • 写回答

1条回答 默认 最新

  • threenewbee 2018-10-05 07:53
    关注

    你可以试试看,userName传入 xxx' or 1=1,看执行的sql是什么,如果 or 1=1没有包含在参数里,就说明注入了。

    评论
    编辑
    预览

    报告相同问题?

    悬赏问题

    • ¥15 基于stc89c52单片机的延时小夜灯
    • ¥15 VQAV2现在都是怎么做evaluation的啊
    • ¥20 C#添加、更新MYSQL数据库问题
    • ¥15 ambari部署hadoop集群中的问题
    • ¥15 分析照片像素时,怎样剔除照片背景像素
    • ¥15 Cytoscape导入问题
    • ¥15 关于#lstm#的问题:我想利用一个地方的四组数据来预测第五组数据,如果想预测出另外一个地方(只有前四组数据)的第五组数据(相关搜索:预测模型)
    • ¥15 windows窗口外边框分区是什么?(qt应用)
    • ¥15 使用lightgbm框架,对糖尿病趋势进行预测。
    • ¥30 给出MySQL数据库workbench代码
    手机看
    程序员都在用的中文IT技术交流社区

    程序员都在用的中文IT技术交流社区

    专业的中文 IT 技术社区,与千万技术人共成长

    专业的中文 IT 技术社区,与千万技术人共成长

    关注【CSDN】视频号,行业资讯、技术分享精彩不断,直播好礼送不停!

    关注【CSDN】视频号,行业资讯、技术分享精彩不断,直播好礼送不停!

    客服 返回
    顶部