我正在做一个简单的注册表单,我需要在url中传递一些参数,但是我担心java中的安全性。在 PHP 中我曾经使用过
mysql_escape_string
确保没有特殊字符传递给变量。但是我不确定 Java 中是否需要这样做。
问题是:直接使用 request.getAttribute(arg0) 是否安全,还是需要使用某种特殊方法来保护它?
最佳答案
这个问题的答案在 Java - escape string to prevent SQL injection .
我相信最好的办法不是将命令编码为字符串,而是使用PreparedSatements并使用其方法设置参数,例如SetInteger、SetBoolean等。
关于java - Servlet 中的安全 doGet 参数,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10880865/