19
SpringのJdbcTemplate抽象化は多くの機能を提供しますが、SQLインジェクション攻撃から保護するような方法で使用できますか?Spring JDBCはSQLインジェクション攻撃から何らかの保護を提供しますか?
たとえば、保護の種類のように、適切に定義されたパラメータ化を使用してPreparedStatementを使用するとします。
A
答えて
23
最も確かにします。この例では、まっすぐ春3.0のドキュメント(ただし、2 *に同じである)からである:あなたが見ることができるように
String lastName = this.jdbcTemplate.queryForObject(
"select last_name from t_actor where id = ?",
String.class, 1212L);
、それは強く恩恵は、それはあなたのために舞台裏で使用している必要がありステートメントを(準備):プレースホルダ(?)でパラメータを指定し、パラメータを満たすオブジェクトの配列を指定します。
NamedParameterJdbcTemplateを使用して、Mapのパラメータを指定することもできます(これはおそらく効率的ではありませんが、ニーモニックが確実に高くなる可能性があります)。
関連する問題
- 1. RailsはSQLインジェクションやXSS攻撃からフォーム保護の必要性を提出していますか?
- 2. GWTP XSRF攻撃からの保護
- 3. PostgreSQLの関数にSQLをラップすることでSQLインジェクション攻撃から保護できますか?
- 4. Heroku PostgresをMITM攻撃から保護していますか?
- 5. SQL/XXS攻撃から保護するクラス?
- 6. シングルページWebAPIをCSRF攻撃から保護する方法は?
- 7. DoS攻撃からサーバーを保護する方法は?
- 8. AWSは私のサイトをDDoS攻撃から保護しますか?
- 9. CAPTCHAなしのDoS攻撃からの保護
- 10. XSS攻撃からApacheサーバのディレクトリリストを保護する方法
- 11. 法的サイトSQLインジェクション攻撃
- 12. Sqlインジェクション攻撃とサブソニック
- 13. サイトログインはSQLインジェクションからサイトを保護しますか?
- 14. ColdFusionでのSQLインジェクションからの保護
- 15. PythonのSQLインジェクションからの保護
- 16. Amazon Webサービス(AWS)S3をDDoS攻撃から保護する
- 17. DoS攻撃からWebサイトを保護する方法
- 18. SafariでMITM攻撃からWebサーバーを保護する
- 19. リプレイ攻撃からAPIを保護する
- 20. CSRF/SQLインジェクション保護。ほかに何か?
- 21. TryParseはSQLインジェクションから保護しますか?
- 22. 偽の攻撃からのREST APIの保護
- 23. 複数のブラウザタブでPHPのCSRF攻撃から保護
- 24. デフォルトでHAProxyはtcp syn flood攻撃から自身を保護します
- 25. SqlCommand以外でSQLインジェクション攻撃を実行できますか?
- 26. SQLインジェクション攻撃のフォーマットが間違っていますか?
- 27. Captchaは悪い練習ですか?ブルートフォース攻撃者からの保護方法
- 28. これはSQLインジェクション攻撃の例ですか?
- 29. セキュリティ - 何らかのjQuery攻撃?
- 30. asp.net - SQLインジェクション攻撃後のクリーンアップ方法
クール - 主なことは、SpringのAPIでパラメータ化されたメソッドを使用することは、保護が保持されるような方法で基本Java PreparedStatementのパラメータ化されたメソッドに確実にマッピングされることです。 – Brabster
彼らはすべきです。ベストプラクティスをより便利な方法で実装することについての春は、PreparedStatementを使用することをお勧めしています...まあ、私はJava 1.1で遭遇したJDBCの最初のバージョンでは、 (私は、すべてのJDBCドライバがそれを正しく取得するかどうかはわかりませんが、もしそうでなければ、それを使用していないための魅力的な理由が考えられます)。 –