私は単純な登録フォームを作成しており、URL でいくつかのパラメーターを渡す必要がありますが、Java のセキュリティが心配です。私が使用していたPHPで
mysql_escape_string
特殊文字が変数に渡されないようにするため。ただし、それがJavaで必要かどうかはわかりません。
問題は: request.getAttribute(arg0)を直接使用しても安全ですか、それとも特別な方法を使用して保護する必要がありますか?
質問する
298 次
1 に答える
2
SQL インジェクションを防ぐための Java エスケープ文字列には、その質問に対する答えがあります。
コマンドを文字列としてエンコードするのではなく、PreparedSatements を使用し、SetInteger や SetBoolean などのメソッドを使用してパラメーターを設定するのが最善の方法だと思います。
于 2012-06-04T12:04:09.913 に答える