Czy ktoś mógłby wskazać mi dobry podręcznik dla początkujących na temat bezpiecznego uruchamiania zapytań SQL utworzonych częściowo na podstawie danych wprowadzonych przez użytkownika? Używam Java, ale przewodnik neutralny językowo też jest w porządku.Jak należy odłożyć dane wejściowe bazy danych w Javie?
pożądane zachowanie jest, że jeśli ktoś wpisze do czegoś GUI jak
very nice;) DROP TABLE FOO;
Baza powinna traktować je jako ciąg dosłownym i przechowywać je bezpiecznie bez pomijania żadnych tabel.
To jest dokładnie ten rodzaj ataku, którego zadaniem jest przygotowanie przygotowanych oświadczeń. Ucieknie przed;. – danieltalsky
Technicznie interfejs PreparedStatement nie gwarantuje tego. Chociaż jeśli twój kierowca robi coś innego, znajdź nowego dostawcę. –
@daniel - Będę musiał spróbować i przekonać się. Czy mam rację, czy nie, czy nie zgadzasz się, że walidacja po stronie serwera nadal jest dobrym pomysłem? – duffymo