我正在做一个简单的注册表单,我需要在url中传递一些参数,但是我担心java中的安全性。在PHP我曾经使用
mysql_escape_string
确保没有特殊字符传递给变量。但是我不确定Java中是否需要这些。
问题是:直接使用 request.getAttribute(arg0)是否安全,或者我是否需要使用某种特殊方法来保护它?
答案 0 :(得分:2)
Java - escape string to prevent SQL injection中有一个问题的答案。
我认为最好的办法是不要将命令编码为字符串,而是使用PreparedSatements并使用其方法设置参数,如SetInteger,SetBoolean等。