最近我们对我们的项目进行了漏洞扫描,发现了SQL注入问题。
在我的项目中,我们使用的代码如下:
SQLParser x = new SQLParser(query);
SelectStatement y = x.parseQuery();
List<ParseNode> groupByNode = y.getGroupBy();
对于上面的代码,它说像SQL Injection一样直接传递查询,但我们正在通过SQLParser执行查询并使用org.apache.phoenix.parse.SelectStatement进行操作。
请对此提出建议。