我正在对其他人写的应用程序进行软件测试。当他们检查用户的username和password是否在数据库中时,他们只是将String从GUI传递到数据库而不进行任何检查 - 我知道这已经很糟糕了
我知道这可能会导致SQL注入。但是,抛开SQL注入,还有其他风险吗?在进入DataBase Manager类中的半预准备语句之后,似乎null变成了类似的东西。
String s = "select * from user where" + user;
当我打印它时,它最终会结束:
从用户wherenull
中选择*
我是否应该通过此测试用例失败并说这个程序在将输入发送到DB之前没有正确检查输入,即使它没有登录用户?