0

次の関数が与えられた場合: 

public void foo(Connection conn)  
{  
    PreparedStatement statement = conn.prepareStatement("Select a from table");  
    statement.execute();
}

他の場所でインスタンス化されたConnectionオブジェクト (アプリケーションの外部か内部かは関係ありません)。アプリケーションの API の関数が検証されていないConnection. たとえば、検証されていない接続によって、アプリケーションがだまされて悪意のあるクエリが実行される可能性はありますか?

4

2 に答える 2

1

考えてみると、その接続オブジェクトを注入しているものはすべて、接続オブジェクトへの参照を既に持っています。コードの有無にかかわらず、悪意のあるクエリを単独で実行する可能性があります。

于 2013-07-30T12:44:17.433 に答える