全文预览已结束
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1.错误代码String username = abc;String sql = select * from t_user where user_name = + username + ;Statement stmt = conn.createStatement(sql);Stmt.executeQuery();正确代码1.使用参数绑定方式(推荐)String username = abc;String sql = select * from t_user where user_name = ?;PreparedStatement stmt = conn.prepareStatement(sql);stmt.setString(1, username);stmt.executeQuery();2.使用escapeSQL的方式(如果很难改成参数绑定方式使用该方式)String username = abc;String sql = select * from t_user where user_name = + StringUtils.escapeSQL(username) + ;Statement stmt = conn.createStatement(sql);Stmt.executeQuery();2.错误代码String username = request.getParameter(user_name);String userid = request.getParameter(user_id);String sql = update t_user set user_name = ? where user_id = ?;PreparedStatement stmt = conn.preparedStatement(sql);Stmt.setString(1, username);Stmt.setInt(2, userid);stmt.executeUpdate();正确代码(仅作为参考,不考虑效率以及框架的规范,请参照项目现行的框架规范进行改进)String username = request.getParameter(user_name);String userid = request.getParameter(user_id);if (username = null | username.trim().length() = 0) throw new Exception(User name cannot be null.);if (username.getBytes().length 20) throw new Exception(Max length of user name is 20);int userId = -1;try userId = Integer.parseInt(userid); catch (Exception e) throw new Exception(User ID cannot be null and must be a integer.);String sql = update t_user set user_name = ? where user_id = ?;PreparedStatement stmt = conn.preparedStatement(sql);Stmt.setString(1, username);Stmt.setInt(2, userId);stmt.executeUpdate();考虑到该修改涉及到的范围基本覆盖所有代码,建议建立新的Form校验解决方案以彻底解决该问题。1.错误代码JavaScript中var url=updateCodeList.do?tableName=+tableName+&whereClause=+whereClause;form.action=url;form.submit();Java代码中String tableName= request.getParameter(tableName);String whereClause = request.getParameter(“whereClause)String sql = select * from + tableName + where + whereClause;/some db query code正确代码JavaScript中var url = updateCodeList.do?dataSource= + dataSource+ ¶m1= + param1 + ¶m2= + param2;form.action = url;form.submit();Java代码中String tableName = DataSourceLocator.getTableName(request.getParameter(dataSource);String sql = select * from + tableName;sql += where param1 = ? and param2 = ?;/some db query code错误代码input type=text id=mailToAddress readOnly=true size=100 value=? class=textfiled /正确代码1.使用Tag方式 (推荐)Field:text value= io=out/2.使用escapeHtml函数进行处理 (无法使用Tag的情况下使用)input type=text id=mailToAddress readOnly=true size=100 value=? class=textfiled /错误代码document.cookie=current_module_id=1123; path=/;正确代码1.使用session存放cookie信息删除JavaScript 中的cookie代码将Cookie信息保存到服务端sessio
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 《油气储运安全技术》课件第七章 油气管道安全管理
- 一年级主题班会活动设计
- 液压与气压传动技术(微课版)教案 4.3 搭建液压速度回路
- 生物合成项目信息
- 防火安全方案
- 专题20 电与磁-2024年中考物理一轮复习讲练测(全国)
- 现场急救-案例2课件
- 2024年陕西省榆林佳县初中学业水平考试化学全真模拟五
- 人力资源管理基础技能(含活页练习册) 课件 3任务2发布招聘信息
- 《鹿角和鹿腿作业设计方案-2023-2024学年语文统编版》
- 2023年江苏省江阴市事业单位招聘236人笔试《行政职业能力测验》模拟试卷(答案详解版)
- 河北省邢台市河北省名校联盟2023-2024学年高二下学期3月月考英语试题
- 冰雪旅游行业分析
- 施工现场气体中毒应急预案范本
- 《植物生长与环境》课程标准(含课程思政)
- 技术管理内部培训:管理者的角色认知与自我管理
- 2024届陕西省西安市西安交大阳光中学中考语文押题卷含解析
- 国事访问欢迎仪式课件
- YY/T 0489-2023一次性使用无菌引流导管及辅助器械
- 美年大健康入职体检报告
- 天津交通职业学院招聘考试题库2024
评论
0/150
提交评论