→ pttworld: 未測試,猜測會認等於符號。 10/01 10:40
→ pttworld: 至少是一定格式。 10/01 10:40
→ qrtt1: 沒有 error message 是要大家觀落陰嗎@@? 10/01 11:52
推 haha02: 我記得是不行 10/01 14:35
推 haha02: 他是需要driver支援的 不是單純像String.format那種字串代 10/01 14:37
→ haha02: 換 不過也許有某套driver允許你這樣搞 who knows 10/01 14:37
因為東西只能在測試環境跑 所以手邊也沒LOG可以上傳來看
其實我也不想這樣寫 只是前幾天CODESCAN的時候 掃出一堆有風險的寫法
因為大多是STATEMENT.EXECUTE()這方面 所以想說改用PREPARESTATEMENT
把整串SQL當參數傳入 之前試過這樣CODESCAN掃可以過 不過這寫法有錯不能用
所以想問 大家有沒有改寫的方法@@
※ 編輯: jeff21115 (123.192.223.29), 10/01/2016 17:10:34
→ ssccg: preparedstatement設定的參數,傳到DB就會是單純的資料而 10/01 21:12
→ ssccg: 不會被當成sql解析,所以把完整的sql當參數傳入是毫無意義 10/01 21:13
→ ssccg: preparedstatement就是把資料和sql分離,一般是要避免把資 10/01 21:15
→ ssccg: 料直接組進sql,但是當然反過來sql放到資料也是不行的 10/01 21:15
→ ssccg: 你把被認為有風險的程式貼來看看問題在哪才是真的 10/01 21:17
例如
protected ArrayList AABB(Connection con, String sql, boolean isTrim) throws
ServiceException, SQLException, Exception {
ArrayList aList = new ArrayList();
Statement stm = null;
ResultSet rs = null;
ResultSetMetaData rsmd = null;
try {
stm = con.createStatement();
rs = stm.executeQuery(sql);
while (rs.next()) {
例如像這樣的一個方法 SQL傳入後就被執行 掃描的時候會被認為有風險
對於這種情況 不知道該怎麼改
※ 編輯: jeff21115 (123.192.223.29), 10/01/2016 21:59:22
→ ssccg: 你的sql是個固定字串? 10/01 22:09
推 haha02: SQL如果是有包含user敲的資料組出來的字串的話會有被SQL 10/01 22:14
→ haha02: inject的風險 如果前面已經有先檢核過輸入排除風險關鍵字 10/01 22:14
→ haha02: 的話 也許可以寫報告說這個問題另外防止掉了來結案 10/01 22:15
→ haha02: 或是這個方法都是執行不含user輸入的SQL 那也解釋的過去 10/01 22:16
感謝大大的意見 明天跟前輩討論看看
※ 編輯: jeff21115 (123.192.223.29), 10/01/2016 22:33:25
推 yoshilin: execute改prepared應該算textbook很好找sample 10/01 23:06
推 swpoker: 不行,要是可以的話就慘了 10/03 01:31