Để lấy một số dữ liệu tôi đang tạo một truy vấn sql :)
Tất nhiên có một số phần lọc và đặt hàng.ngăn chặn tiêm sql trong oracle "order by" part
Để có được kết quả tôi sử dụng "NamedParameterJdbcTemplate" và khi tôi cần thêm thứ gì đó vào phần "ở đâu", tôi sử dụng bản đồ tham số, để tránh tiêm.
Nhưng khác với phần "đặt hàng", vì không có thoát tự động (và đó là một phần của sql). Phần thứ tự này đôi khi được lấp đầy với dữ liệu từ người dùng (trực tiếp), đôi khi đặt một số thông số sắp xếp bổ sung từ mã bên trong. Có một vấn đề: đôi khi trường sắp xếp này không chỉ chứa tên cột, mà còn có câu lệnh sql. Bây giờ mỗi thông số để sắp xếp được thoát bằng tay bằng cách thay thế một số ký tự (như ') thành chuỗi rỗng, nhưng một số thông số chúng tôi đặt cho mã của chúng tôi hơi phức tạp để chuyển quy tắc này.
Cách tốt nhất để ngăn chặn tiêm sql trong phần sắp xếp truy vấn là gì, khi bạn sử dụng mẫu jdbc?
+1 để được chăm sóc :) – RedFilter
Có thể sử dụng 'PreparedStatement'? – Romain
Tôi không biết về jdbc nhưng có thể sử dụng một biến liên kết trong một 'thứ tự bởi' trong Oracle. – Ben