私はいくつかのアプリを開発しようとしており、checkmarx を使用してコードをスキャンし、以下の方法で LDAP インジェクションの下で問題が発生しました。
Update(request.getparameter("userID"))
このメソッドを呼び出し、対応する値を取得するために request.getparameter() を使用しています。checkmarx は request.getparameter("userID") で問題を示しています。
問題の説明は、 「この要素の値は、適切にサニタイズまたは検証されずにコードを通過し、最終的にメソッド内の LDAP クエリで使用されます」です。
以下は私が試した方法の1つです
String userID = request.getparameter("userID");
if(userID == null && userID.isEmpty){
throw new ServletException();
}
else
Update(userID);
上記の変更でも問題は解決されません。
この問題を解決するアイデアはありますか?