您的位置: 首页  >  技术问答  >  Spring中的SimpleJdbcTemplate是否可以避免SQL注入?

Spring中的SimpleJdbcTemplate是否可以避免SQL注入?

分类: 技术问答 2022-04-02 22:24:04

Spring中的SimpleJdbcTemplate是否可以避免SQL注入?

问题描述:

我意识到可以将手动构建的字符串传递给易受攻击的execute(String)。不过,我对使用MapSqlParameterSource或其他公开方法之一(如下面的示例)将参数传递给查询感兴趣。挖掘它的源代码看起来好像它在每一个中都使用了准备好的语句,所以我认为注入是不可能的。然而,我不是安全专家,所以只是想确认一下。Spring中的SimpleJdbcTemplate是否可以避免SQL注入?

实施例1:

getSimpleJdbcTemplate().queryForObject("SELECT * FROM table WHERE value = ?", 
       new ObjectMapper(), code);

实施例2:

getSimpleJdbcTemplate() 
      .update(
        "insert into table " 
          + "(column1, column2, column3, column4, column5) VALUES " 
          + "(:column1, :column2, :column3, :column4, :column5)", 
        new MapSqlParameterSource().addValue("column1", 
          value1).addValue("column2", 
          value2).addValue("column3", 
          value3).addValue("column4", 
          value4).addValue("column5", value5));

是,上面的代码是从注射安全的 - 它使用参数绑定。

相关推荐