浏览 3227 次
|
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2008-10-11
使用jdbc template进行数据库操作时,要注意不要之间传入组装式的SQL语句,如
sql=select * from +tablename+where +condition,这样jdbctemplate将不会进行任何处理直接执行输入的sql语句,这也是sql注入的一个最主要的入口,要小心了~ 在使用其它jdbctemplate基于preparedstatement的方法时就不用担心这个问题了,使用preparedstatement时如果没有指定出入参数的类型,jdbctemplate会根据出入的参数,获取其类型,然后调用preparedstatement的 setObject(int parameterIndex,Object x,int targetSqlType)以及setObject(int parameterIndex, Object x)按照指定的类型进行设置,所以不必担心传入的参数类型没有被正确的转化 声明:ITeye文章版权属于作者,受法律保护。没有作者书面许可不得转载。
推荐链接
|
| 返回顶楼 | |
|
发表时间:2008-10-15
我是把传入的参数全放在一个POJO对象里 在写语句里直接Object.getxxx()
|
| 返回顶楼 | |
