我知道准备语句的威力,但我不能在这里使用它。我通过 HTTP 而不是通过 JDBC 将 sql 查询发送到外部服务器。 如何为 SQL 查询转义字符串?有办法通过 JDBC 做到这一点吗?或者我应该为此使用自定义类/函数?
附注我还连接到其他数据库,因此我可以使用 JDBC 函数。
最佳答案
这听起来很不安全。如果您通过 HTTP 发送 SQL 语句,那么您可能会受到中间人攻击(以及其他攻击)的危害。除此之外,任何普通水平的程序员都可以尝试对您的数据库执行恶意 SQL,如果他们看到您正在发送 SQL 语句。他们可以创建用户、更改密码、检索敏感数据...您确定这是处理问题的最佳方式吗?
关于java - 如何为 SQL 查询转义字符串(没有准备好的语句),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11448534/