标签: sql security
如果我正在从我的本地文件系统内部的外部文件中读取sql查询,然后我使用预准备语句执行该查询(所有调用都是从java程序生成的)该查询仍然容易受到sql注入?
问题:我在外部文件中使用的查询是否容易受到SQL注入?
Flow:Java程序读取包含查询的本地文件,并使用prepares语句执行该查询
答案 0 :(得分:0)
准备好的陈述是针对注射的有效保护。在这种情况下,从文件读取不会改变任何东西。您的查询可以硬编码或嵌套在文件中。
但是如果人们可以更改外部文件,则保护无效。