请问这种写法会发生sql注入问题吗

用的spring jdbc，这样算不算拼接sql语句，会产生sql注入问题吗

@Override
public List getUserListByUserIdAndName(Long userId, String userName) {
List userList = this.getJdbcTemplate().query(
"SELECT * FROM user WHERE is_display = true AND check_id = ? AND user_nam e = ?", this.getRowMapper(), userId, userName);
return userList;
}

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
threenewbee 2018-10-05 15:53
关注
你可以试试看，userName传入 xxx' or 1=1，看执行的sql是什么，如果 or 1=1没有包含在参数里，就说明注入了。

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

java.lang.NoClassDefFoundError:java/sql/SQLException java 有问必答
2022-01-06 20:17

回答 1 已采纳 java.net.URL.openConnection()" because "this.url" is nullurl为空。Swing.java:14行代码发一下。
请问这种写法没有错误吗？Python代码tensorflow相关 python tensorflow 有问必答
2022-03-07 20:06

回答 3 已采纳函数参数注释https://python3-cookbook.readthedocs.io/zh_CN/latest/c07/p03_attach_informatinal_matadata_to_f
java里这种写法叫什么 java
2021-04-09 20:24

回答 5 已采纳 Java标签机制
【Java代码审计】SQL注入篇
2023-12-15 16:44

世界尽头与你的博客答案是否定的，很多开发者因为个人开发习惯的原因，没有按照PrepareStatement正确的开发方式进行数据库连接查询，在预编译语句中使用错误编程方式，那么即使使用了SQL语句拼接的方式，同样也会产生SQL注入漏洞。
这种写法是什么意思，if判断能不要大括号吗 java
2022-03-28 15:34

回答 5 已采纳可以，如果if判断之后只有一句执行语句，就可以把大括号省略
这种SQlserver锁定语句大家用过吗？网上都搜不到这种写法 sqlserver
2021-12-24 15:00

回答 1 已采纳我怎么看都是修改语句，哪里是加锁了，害还是我太菜了还有这种神仙写法。
关于#java#的问题：java正则表达式写法 java 有问必答正则表达式
2021-09-09 09:13

回答 3 已采纳你这是要用字符串截取，并不是验证是否满足正则。
11-java安全基础——java中的sql注入
2021-08-15 20:24

song->_->的博客 jdbc中的sql注入 JDBC是sun公司制定的使用java语言来操作数据库的驱动接口，程序员如果要开发访问数据库的程序，只需要会调用 JDBC 接口中的方法即可，不用关注类是如何实现的。新建一个maven项目，导入jdbc...
sql语句问题。语法或者是写法问题。 mysql
2023-04-04 15:25

回答 2 已采纳应该是把数字当成字符串了，你把数字加上单引号试试
sql或list数据结构问题 java sql 后端
2021-12-23 14:00

回答 3 已采纳你好，用sql 的行转列即可。 SELECT `工厂id` , SUM(CASE WHEN `name`='X' THEN num ELSE 0 END) AS 'X', SUM(CA
java 这种for循环写法什么意思 java
2017-06-23 05:27

回答 7 已采纳循环体的三个部分解释如下： ``` int iByteLen = raFile.read(e) //循环开始，读取raFile文件中1024个字节数据到e数组中，成功返回读取的字节数，失败返回
java代码审计--sql注入
2021-09-15 16:26

goddemon的博客一.sql注入基础 public User getUserById(String id) throws SQLException { Connection connection = JDBCTOOLS.getConnection(); String sql = "select id,username from user where id=" + id; Statement ...
sql数据库存储过程写法 sql
2022-06-22 11:31

回答 1 已采纳 1、CREATE TABLE `user_t` ( `user_id` int(255) NOT NULL AUTO_INCREMENT , `user_name` varchar(255) N
java sql注入 正则表达式_sql注入之 update/insert/delete篇
2021-03-09 00:10

weixin_39772420的博客 1.(简单又有效的方法)PreparedStatement采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setXXX方法传值即可。使用好处：(1).代码的可读性和可维护性.(2).PreparedStatement尽最大可能提高性能.(3).最...
java处理sql注入的方法：
2020-11-11 17:46

wcw002500的博客 String sql = " select * from s_org where org_name like :ssdqStr "; MapSqlParameterSource msq = new MapSqlParameterSource(); NamedParameterJdbcTemplate jdbc = new NamedParameterJdb...
没有解决我的问题, 去提问

悬赏问题

¥15 如何在3D高斯飞溅的渲染的场景中获得一个可控的旋转物体
¥88 实在没有想法，需要个思路
¥15 MATLAB报错输入参数太多
¥15 python中合并修改日期相同的CSV文件并按照修改日期的名字命名文件
¥15 有赏，i卡绘世画不出
¥15 如何用stata画出文献中常见的安慰剂检验图
¥15 c语言链表结构体数据插入
¥40 使用MATLAB解答线性代数问题
¥15 COCOS的问题COCOS的问题
¥15 FPGA-SRIO初始化失败

请问这种写法会发生sql注入问题吗

1条回答 默认 最新

悬赏问题

1条回答默认最新