java 板


LINE

作者jeff21115 (問蒼天)
看板java
標題

[問題] 關於prepareStatement

時間Sat Oct 1 10:03:05 2016
各位大大 我想請問一下 用preparedStatement 可以把完整的sql指令當成一個參數傳入嗎? 例如 //sql為方法傳入的參數 內容視為整的sql指令 PreparedStatement pstmt = null; String sss = "?"; pstmt = con.prepareStatement(sss); pstmt.setString(1,sql) pstmt.executeQuery(); 我試過這樣寫 程式會錯誤 網頁開不起來 想請問一下 要怎麼解決 --



※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.192.223.29 ※ 文章網址: https://webptt.com/m.aspx?n=bbs/java/M.1475287389.A.378.html
1F:→ pttworld: 未測試,猜測會認等於符號。 10/01 10:40
2F:→ pttworld: 至少是一定格式。 10/01 10:40
3F:→ qrtt1: 沒有 error message 是要大家觀落陰嗎@@? 10/01 11:52
4F:推 haha02: 我記得是不行 10/01 14:35
5F:推 haha02: 他是需要driver支援的 不是單純像String.format那種字串代 10/01 14:37
6F:→ haha02: 換 不過也許有某套driver允許你這樣搞 who knows 10/01 14:37
因為東西只能在測試環境跑 所以手邊也沒LOG可以上傳來看 其實我也不想這樣寫 只是前幾天CODESCAN的時候 掃出一堆有風險的寫法 因為大多是STATEMENT.EXECUTE()這方面 所以想說改用PREPARESTATEMENT 把整串SQL當參數傳入 之前試過這樣CODESCAN掃可以過 不過這寫法有錯不能用 所以想問 大家有沒有改寫的方法@@ ※ 編輯: jeff21115 (123.192.223.29), 10/01/2016 17:10:34
7F:→ ssccg: preparedstatement設定的參數,傳到DB就會是單純的資料而 10/01 21:12
8F:→ ssccg: 不會被當成sql解析,所以把完整的sql當參數傳入是毫無意義 10/01 21:13
9F:→ ssccg: preparedstatement就是把資料和sql分離,一般是要避免把資 10/01 21:15
10F:→ ssccg: 料直接組進sql,但是當然反過來sql放到資料也是不行的 10/01 21:15
11F:→ ssccg: 你把被認為有風險的程式貼來看看問題在哪才是真的 10/01 21:17
例如 protected ArrayList AABB(Connection con, String sql, boolean isTrim) throws ServiceException, SQLException, Exception { ArrayList aList = new ArrayList(); Statement stm = null; ResultSet rs = null; ResultSetMetaData rsmd = null; try { stm = con.createStatement(); rs = stm.executeQuery(sql); while (rs.next()) { 例如像這樣的一個方法 SQL傳入後就被執行 掃描的時候會被認為有風險 對於這種情況 不知道該怎麼改 ※ 編輯: jeff21115 (123.192.223.29), 10/01/2016 21:59:22
12F:→ ssccg: 你的sql是個固定字串? 10/01 22:09
13F:推 haha02: SQL如果是有包含user敲的資料組出來的字串的話會有被SQL 10/01 22:14
14F:→ haha02: inject的風險 如果前面已經有先檢核過輸入排除風險關鍵字 10/01 22:14
15F:→ haha02: 的話 也許可以寫報告說這個問題另外防止掉了來結案 10/01 22:15
16F:→ haha02: 或是這個方法都是執行不含user輸入的SQL 那也解釋的過去 10/01 22:16
感謝大大的意見 明天跟前輩討論看看 ※ 編輯: jeff21115 (123.192.223.29), 10/01/2016 22:33:25
17F:推 yoshilin: execute改prepared應該算textbook很好找sample 10/01 23:06
18F:推 swpoker: 不行,要是可以的話就慘了 10/03 01:31




熱門看板

贊助商連結






like.gif 您可能會有興趣的文章
icon.png[問題/行為] 貓晚上進房間會不會有憋尿問題
icon.pngRe: [閒聊] 選了錯誤的女孩成為魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一張
icon.png[心得] EMS高領長版毛衣.墨小樓MC1002
icon.png[分享] 丹龍隔熱紙GE55+33+22
icon.png[問題] 清洗洗衣機
icon.png[尋物] 窗台下的空間
icon.png[閒聊] 双極の女神1 木魔爵
icon.png[售車] 新竹 1997 march 1297cc 白色 四門
icon.png[討論] 能從照片感受到攝影者心情嗎
icon.png[狂賀] 賀賀賀賀 賀!島村卯月!總選舉NO.1
icon.png[難過] 羨慕白皮膚的女生
icon.png閱讀文章
icon.png[黑特]
icon.png[問題] SBK S1安裝於安全帽位置
icon.png[分享] 舊woo100絕版開箱!!
icon.pngRe: [無言] 關於小包衛生紙
icon.png[開箱] E5-2683V3 RX480Strix 快睿C1 簡單測試
icon.png[心得] 蒼の海賊龍 地獄 執行者16PT
icon.png[售車] 1999年Virage iO 1.8EXi
icon.png[心得] 挑戰33 LV10 獅子座pt solo
icon.png[閒聊] 手把手教你不被桶之新手主購教學
icon.png[分享] Civic Type R 量產版官方照無預警流出
icon.png[售車] Golf 4 2.0 銀色 自排
icon.png[出售] Graco提籃汽座(有底座)2000元誠可議
icon.png[問題] 請問補牙材質掉了還能再補嗎?(台中半年內
icon.png[問題] 44th 單曲 生寫竟然都給重複的啊啊!
icon.png[心得] 華南紅卡/icash 核卡
icon.png[問題] 拔牙矯正這樣正常嗎
icon.png[贈送] 老莫高業 初業 102年版
icon.png[情報] 三大行動支付 本季掀戰火
icon.png[寶寶] 博客來Amos水蠟筆5/1特價五折
icon.pngRe: [心得] 新鮮人一些面試分享
icon.png[心得] 蒼の海賊龍 地獄 麒麟25PT
icon.pngRe: [閒聊] (君の名は。雷慎入) 君名二創漫畫翻譯
icon.pngRe: [閒聊] OGN中場影片:失蹤人口局 (英文字幕)
icon.png[問題] 台灣大哥大4G訊號差
icon.png[出售] [全國]全新千尋侘草LED燈, 水草

請輸入看板名稱,例如:Gossiping站內搜尋

TOP