owasp ESAPI的encodeForSQL方法使用Codec DB2Codec来保护SQL注入
问题描述 投票:0回答:1
我正在尝试保护服务器代码免遭 SQL 注入。
为了做到这一点,我使用了 ESAPI.encoder().encodeForSQL 方法和 Codec DB2Codec,因为我的数据库是 DB2。
但是每当我在查询中给出单引号时,上述方法的输出都会添加额外的单引号,因此在尝试执行查询时使查询无效。
public static void main(String[] args) {
String test = "UPDATE TEST_TABLE SET USER = 'temp' WHERE ID = 247";
String testmod = ESAPI.encoder().encodeForSQL(new DB2Codec(), test);
System.out.println(testmod);
}
代码的输出是
更新测试表设置用户=''临时''其中ID = 247
请找到图片
这是无效的 sql 语法。
任何解决问题的建议!!
1个回答
0
投票
投票
我认为需要转义的不是整个 sql 查询,而是您的输入。
public static void main(String[] args) {
String sanitizedTemp = ESAPI.encoder().encodeForSQL(new DB2Codec(),
req.getParameter("temp")); String sanitizedId =
ESAPI.encoder().encodeForSQL(new DB2Codec(), req.getParameter("ID"));
String test = "UPDATE TEST_TABLE SET USER = '"+ sanitizedTemp +"' WHERE ID
= "+sanitizedId;
}
最新问题
- matlab - simscape 开始在关节限制之外进行模拟
- Python:pyserial 超时似乎不适用于连接
- Arangodb:没有可用的文件描述符
- Qpid Proton:将消息发送到两个目的地
- 由于 CORS Docker 无法发出 Spring Boot API 请求
- 在 JDBC 中哪里关闭语句
- 在 gsoap 中生成 SOAP-ENV:Header 的子元素时出现问题
- 如何将tw0数据集与匹配索引结合起来?
- 如何在@PropertySources中引用单独的@PropertySource来获取值
- Android Studio - 无法连接到蓝牙设备
- 下载 Line 图片但未获得许可
- 使用 N -1 最大流在无向图中查找全局最小割
- 如何在极坐标条件下生成多个
- 从手机号码中提取国家代码
- Rails 独特的验证不起作用和后台作业
- excel从地址获取工作表名称
- 从 Java DTO 类型生成一个类型,其中许多字段为空,并且所有 getter 均为可选<T>
- Maven 构建缓存扩展重复缓存步骤
- 错误 - 无法执行任务“ti”(KeyError:Apache Airflow 中的“ti”)
- DevOps 管道“project.assets.json”没有“net8.0”的目标
© www.soinside.com 2019 - 2024. All rights reserved.