我正在做一个简单的注册表单,我需要在 url 中传递一些参数,但我担心 java 的安全性。 在我曾经使用的 PHP 中
mysql_escape_string
确保没有特殊字符传递给变量。 但是我不确定 Java 是否需要这样做。
问题是:直接使用 request.getAttribute(arg0) 是否安全,还是需要使用某种特殊方法保护它?
这个问题在Java中有一个答案 - 转义字符串以防止SQL注入。
我相信最好的办法不是将您的命令编码为字符串,而是使用 PreparedSatements 并使用其方法设置参数,如 SetInteger、SetBoolean 等。