标签: java prepared-statement
即使我使用的是PreparedStatment,我也有一个由Veracode扫描标记为SQL注入的类。我无法确定问题出在哪里,或者无法确定扫描是否有误报。请参考下面的代码(QueryBuffer是使用StringBuffer的自定义类):
boundary
答案 0 :(得分:1)
好像veracode对字符串连接不满意。
更多的是将来(另一位)开发人员扩展代码并在字符串中添加不良内容(例如变量)时可能发生的SQL注入。
所以请避免使用所有这些addSql字符串。