SQL注入哪一个是安全的:NamedParameterJdbcTemplate还是SimpleJdbcTemplate?例如,String sql = insert into db_table (associateid,comment) values(:associateId,:comments);MapString, Object paramMap = ...
SQL注入哪一个是安全的:NamedParameterJdbcTemplate还是SimpleJdbcTemplate?
例如,
String sql = "insert into db_table (associateid,comment) values(:associateId,:comments)";
Map<String, Object> paramMap = new HashMap<String, Object>();
paramMap.put("associateId", "12345");
paramMap.put("comments", "some comments");
int rowNumber = readTemplate.update(sql, paramMap);
要么
String sql = "insert into db_table (associateid,comment) values(?,?)";
int rowNumber = readTemplate.update(sql,new Object[] {"comments","some comments"} );
第一个使用NamedParameterJdbcTemplate,而第二个使用SimpleJdbcTemplate.
在某些网站中,它的给定与两者相同,在其他一些网站中,NamedParameterJdbcTemplate是安全的.
任何人都可以清除我的怀疑吗?
解决方法:
两者都使用Preparedstatements来执行查询.这些是防止SQL注入的东西.因此,SQL注入没有区别.
但是,如果您查看SimpleJdbcTemplate的文档:
Deprecated.
since Spring 3.1
in favor of JdbcTemplate and NamedParameterJdbcTemplate. The JdbcTemplate and NamedParameterJdbcTemplate now provide all the functionality of the SimpleJdbcTemplate.
所以你应该使用NamedParameterJdbcTemplate,因为它没有被删除. (遗留代码可能仍会使用它)
本文标题为:java – 哪一个更安全的SQL注入-namedParameterJdbcTemplate或SimpleJdbcTemplate?
- 使用Files.walkFileTree遍历目录文件 2023-06-24
- SpringBoot配置文件加载方法详细讲解 2023-06-24
- java中JSONArray互相转换List的实现 2023-02-27
- Java 协程 Quasar详解 2023-02-19
- java如何实现抽取json文件指定字段值 2023-01-09
- 深入了解Java File分隔符和Path分隔符的使用 2023-02-11
- 浅谈Mybatis二级缓存的缺陷 2023-04-18
- SpringBoot基于AbstractRoutingDataSource实现多数据源动态切换 2022-11-11
- 关于如何正确地定义Java内部类方法详解 2023-07-14
- Java实现可配置换肤的方法示例 2023-01-08
