Я хочу проверить мою строку ввода для потенциального SQL-инъекции.check input for SQL-Injection with Mybatis
Вот мой класс, метод и запрос:
public class UserNamesQuery {
public static String getUserNames(Map<String, Object> params) {
String userNames = (String) params.get("userNames");
return "SELECT * FROM users WHERE name IN (" + userNames + ") ";
}
}
Есть инструмент или быстрый способ проверить, что userNames
без SQL-инъекций?
Обратите внимание, что я использую Mybatis
Вы, вероятно, хотите использовать 'PreparedStatement' вместо того чтобы изобретать колесо. – Mena
Подготовленные утверждения - хороший совет, но это в списке значений IN. [PreparedStatement со списком параметров в предложении IN] (http://stackoverflow.com/questions/3107044/preparedstatement-with-list-of-parameters-in-a-in-clause) –
@AlexK. правильно - у меня проблема с IN – Igor