1.所有的 SQL 语句都使用 preparestatement 的话,不做其他任何设置,是否就可以彻底避免 sql 注入?
2.因为系统较老 且 sql 语句很多 改成 preparestatement 工作量过大,于是写了一个过滤器,过滤参数中的 or 等词汇,但这样带来的问题是比如 importentInfo 这样的词汇中带有 or,也被过滤了。改如何修改?
新手,如果问的问题比较低级,请不要嫌弃哈
1
leonme 2020-02-20 15:46:11 +08:00 via iPhone
如果使用 ORM 框架的话,不用考虑这个问题
|
2
liprais 2020-02-20 15:47:03 +08:00
prepared statement 是唯一从源头上解决问题的方法,其他的肯定有漏洞
|
3
sandman511 OP @leonme servlet+JSP
|
4
hlwjia 2020-02-20 15:50:50 +08:00
|
5
sandman511 OP @liprais 用且仅用 prepared statement 是否可以彻底避免 SQL 注入了
|
6
sandman511 OP |
7
ym1ng 2020-02-20 16:03:44 +08:00
OWASP ESAPI 了解一下
|
8
Jacky23333 2020-02-20 16:13:14 +08:00 via Android
@sandman511 这跟 orm 有什么关系,麻烦楼主先百度下 orm 好吧.....
|
9
retanoj 2020-02-20 23:03:10 +08:00 via iPhone
1 并不能。
|