SQL注入哪一个是安全的:NamedParameterJdbcTemplate还是SimpleJdbcTemplate?例如,String sql = insert into db_table (associateid,comment) values(:associateId,:comments);MapString, Object paramMap = ...
SQL注入哪一个是安全的:NamedParameterJdbcTemplate还是SimpleJdbcTemplate?
例如,
String sql = "insert into db_table (associateid,comment) values(:associateId,:comments)";
Map<String, Object> paramMap = new HashMap<String, Object>();
paramMap.put("associateId", "12345");
paramMap.put("comments", "some comments");
int rowNumber = readTemplate.update(sql, paramMap);
要么
String sql = "insert into db_table (associateid,comment) values(?,?)";
int rowNumber = readTemplate.update(sql,new Object[] {"comments","some comments"} );
第一个使用NamedParameterJdbcTemplate,而第二个使用SimpleJdbcTemplate.
在某些网站中,它的给定与两者相同,在其他一些网站中,NamedParameterJdbcTemplate是安全的.
任何人都可以清除我的怀疑吗?
解决方法:
两者都使用Preparedstatements来执行查询.这些是防止SQL注入的东西.因此,SQL注入没有区别.
但是,如果您查看SimpleJdbcTemplate的文档:
Deprecated.
since Spring 3.1
in favor of JdbcTemplate and NamedParameterJdbcTemplate. The JdbcTemplate and NamedParameterJdbcTemplate now provide all the functionality of the SimpleJdbcTemplate.
所以你应该使用NamedParameterJdbcTemplate,因为它没有被删除. (遗留代码可能仍会使用它)
本文标题为:java – 哪一个更安全的SQL注入-namedParameterJdbcTemplate或SimpleJdbcTemplate?
基础教程推荐
- Java8新特性Optional类及新时间日期API示例详解 2023-07-01
- 在Java中使用PostgreSQL Domain和Struct类型 2023-11-03
- Java实现redis分布式锁的三种方式 2023-03-31
- Java设计模式中的适配器模式 2023-03-11
- Java时间处理第三方包Joda Time使用详解 2023-03-06
- 微服务Spring Boot 整合Redis 阻塞队列实现异步秒杀下单思路详解 2023-06-30
- Java解决代码重复的三个绝招分享 2023-03-06
- java – 如何在不使用数据库中的任何角色表的情况下编写spring安全性? 2023-11-06
- java创建jar包并被项目引用步骤详解 2023-03-21
- java内存模型的理解 volatile理解 2023-09-01
