パラメータ化された静的/コードSQLステートメントはSQLインジェクション攻撃の対象になりますか？

たとえば、次の簡略化されたストアドプロシージャがあるとします。入力@PSeries_descを渡しているという事実は、パラメータ化されている場合、インジェクション攻撃を受けることを意味しますか？以前は、これは動的SQLステートメントであり、コードはsp_executesqlexecではなくを使用して実行されていたため、攻撃に対して確実にオープンでした。

継承に奇妙な問題があり、なぜそれが機能しないのかわかりません。

しかし、コンパイルすると次のエラーが発生します

Type mismatch: cannot convert from ArrayList<B> to ArrayList<A> C.java /bla/src/de/plai/test line 8 Java Problem

理論とパラメータ化されたテストの違いは何ですか？

テストクラスを作成するときの実装の違いには興味がありません。どちらかを選択する場合だけです。

Hudson/Jenkins では、Subversion モジュール リポジトリ URL の文字列全体を文字列パラメータに置き換えることはできますか? バージョンやそのようなものだけを置き換えたいのではなく、URL全体を置き換えたい.

したがって、ビルドを実行すると、URL のプロンプトが表示され、「http://scm.work.corp/svn/com.work.package/tags/project-4.0.0」のようなものを入力します。 .RELEASE" を実行すると、それがチェックアウトされてビルドされます。

「com.work.package」と「project-4.0.0.RELEASE」の部分を置き換えることができれば、まったく問題ありません。基本的には、どのリリースでもビルドできる 1 つの仕事にしたいと考えています。

私が取り組んでいる Web アプリを (恐ろしく安全でない mysql_query から) PDO に切り替えており、既存のクエリを新しい形式に適応させる方法に問題があります。クエリは、特定のファイル タイプのメディア アイテムを検索します。

GET は次のようにフォーマットされます: jpg,png,gif

(以下のコードはエスケープしていましたが、この例では簡略化されています)

おそらく私はこれを完全に逆の方法で行っていたので、IN() 関数を使用する必要がありますが、とにかく、これを次のようなパラメーター化された PDO ステートメントに変換する必要があります。

明らかにこれは機能しません...しかし、私は効率的かつ安全にしようとしていますが、ほとんど成功していません。ファイルタイプをループしてSQLを作成し、バインドを再度ループできるかもしれません...しかし、ここで誰かが別のアプローチについて賢明なアドバイスを持っているかどうかを確認したかったのです。

TL;DR: SQL 条件の動的リストをパラメーター化する最善の方法を見つけようとしています。

前もって感謝します！

パラメーター化されたクエリ (または準備されたステートメント) 手法に関するレポートを書いています。そして、すべてのデータベースが最新バージョンでこの手法をサポートしているかどうかを記述する必要があります。mysql、sql サーバー、および oracle がこれをサポートしていることは知っています。他の人はどうですか？

'hidden'（推定）型と具体的な値を持つデータ型があります。今、私はこれらの両方を変更する関数を実装しようとしましたが、GHCを通過させることができません。

私のサンプルコードはこれです：

生成されるエラーは次のとおりです。

この作業を行うには何をする必要がありますか？データ構造を変更する必要がありますか？

編集

Don Stewart多態的なデータ型で動作するようにのソリューションを拡張しようとしています。私はインスタンス定義をいじってみましたが、思いついた最も有望な見た目はこれです：

しかし、それは私にちょうど別のエラーメッセージを与えます：

ドンが言うように、それがどのように実装されるかに興味があります。

解決

もっとたくさん「遊んだ」後、私はついにうまくいく何かを思いついた。これはあなたに似合いますか？

使用法：

指定されたテーブルからすべてのデータを取得する必要があり、データを厳密に型指定する必要がないため、データ テーブルとして返します。

これを実行すると、エラーが発生します

@table を宣言したため、これが機能しない理由がわかりません。このメソッドはいくつかの悪い sql 攻撃にさらされていることを知っているので、正確にどの型に対してクエリを実行できるかについて、いくつかの保護を追加する予定です。

パラメータ化された @PATH を機能させる方法がわかりません。

これが私のweb.xmlです

これが私のリソースクラスです：

URL http://my_web_app:8080/NDで GET または POST を実行すると、両方の方法が正常に機能します。しかし、何らかの理由で、URL http://my_web_app:8080/ND/NJの GET メソッドは常に 404-NotFound を返します。

ここで私は何を間違えましたか？

ありがとう

パラメータ化された oracle コマンドの使用に問題があります。このコマンドはすべての文字列パラメーター (:Id、:CreateUser) を認識しているようですが、文字パラメーター (:Active) は認識していません。

これを行うさまざまな方法を試しましたが、これら 2 種類のパラメーターを使用するたびに、char パラメーターが認識されません。文字パラメーターのみが考慮される場合、正しく機能しますが、そうでない場合はエラーが発生します