项目需要出安全扫描报告,但是每次都有40左右高危漏洞
为了 解决漏洞,最小的代价是用预编译方式查询sql,不用String拼接的方式。
1、最常见的是sql参数用 ? 英文问号代替 参数直接依次放在jdbc的api后面
注:execute 与update区别是前面的不能加参数,后面的可追加参数
2、如果sql参数数目不固定、或者sql 中有in关键字的要用Map 将参数用:Key的形式书写,value放入Map,最后在api中只调用一个Map
例子如下
List<String> A00List = Arrays.asList(A00.split(","));
Map<String,Object> paramMap = new HashMap<String,Object>();
paramMap.put("A00List", A00List);String sql =“update Tal_Review_Expert_R set REVIEWSTATE=0 where puserid in (:A00List) “
this.jdbcOperations.update(UpdateRERSql, paramMap);
发表评论