尝试通过Fortify Static扫描解决我们的代码中发现的资源注入问题。我们在updateUserInfo(User user)类中使用Service方法调用updateUser(User user)类上的Dao方法。 updateUser(User user)方法代码具有以下代码行。
public void updateUser(User user) {
Map params = new HashMap();
params.put("id", user.getId());
// below code makes a call to stored proc updateUser and passes params as parameters to database(ibatis config)
getSqlMap.update("updateUser", params);
}
Fortify抱怨攻击者可以在updateUserInfo类中指定Service处输入的值,此值用于在getSqlMap.update行调用时访问系统资源。
我不确定如何更改此代码以克服此漏洞。请帮忙。