全文预览已结束
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1.错误代码String username = abc;String sql = select * from t_user where user_name = + username + ;Statement stmt = conn.createStatement(sql);Stmt.executeQuery();正确代码1.使用参数绑定方式(推荐)String username = abc;String sql = select * from t_user where user_name = ?;PreparedStatement stmt = conn.prepareStatement(sql);stmt.setString(1, username);stmt.executeQuery();2.使用escapeSQL的方式(如果很难改成参数绑定方式使用该方式)String username = abc;String sql = select * from t_user where user_name = + StringUtils.escapeSQL(username) + ;Statement stmt = conn.createStatement(sql);Stmt.executeQuery();2.错误代码String username = request.getParameter(user_name);String userid = request.getParameter(user_id);String sql = update t_user set user_name = ? where user_id = ?;PreparedStatement stmt = conn.preparedStatement(sql);Stmt.setString(1, username);Stmt.setInt(2, userid);stmt.executeUpdate();正确代码(仅作为参考,不考虑效率以及框架的规范,请参照项目现行的框架规范进行改进)String username = request.getParameter(user_name);String userid = request.getParameter(user_id);if (username = null | username.trim().length() = 0) throw new Exception(User name cannot be null.);if (username.getBytes().length 20) throw new Exception(Max length of user name is 20);int userId = -1;try userId = Integer.parseInt(userid); catch (Exception e) throw new Exception(User ID cannot be null and must be a integer.);String sql = update t_user set user_name = ? where user_id = ?;PreparedStatement stmt = conn.preparedStatement(sql);Stmt.setString(1, username);Stmt.setInt(2, userId);stmt.executeUpdate();考虑到该修改涉及到的范围基本覆盖所有代码,建议建立新的Form校验解决方案以彻底解决该问题。1.错误代码JavaScript中var url=updateCodeList.do?tableName=+tableName+&whereClause=+whereClause;form.action=url;form.submit();Java代码中String tableName= request.getParameter(tableName);String whereClause = request.getParameter(“whereClause)String sql = select * from + tableName + where + whereClause;/some db query code正确代码JavaScript中var url = updateCodeList.do?dataSource= + dataSource+ ¶m1= + param1 + ¶m2= + param2;form.action = url;form.submit();Java代码中String tableName = DataSourceLocator.getTableName(request.getParameter(dataSource);String sql = select * from + tableName;sql += where param1 = ? and param2 = ?;/some db query code错误代码input type=text id=mailToAddress readOnly=true size=100 value=? class=textfiled /正确代码1.使用Tag方式 (推荐)Field:text value= io=out/2.使用escapeHtml函数进行处理 (无法使用Tag的情况下使用)input type=text id=mailToAddress readOnly=true size=100 value=? class=textfiled /错误代码document.cookie=current_module_id=1123; path=/;正确代码1.使用session存放cookie信息删除JavaScript 中的cookie代码将Cookie信息保存到服务端sessio
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026年高考数学考前20天冲刺讲义(一)(解析版)
- 企业办公费用管理系统
- 企业数据备份方案
- 会计学教程答案
- 冬季服装促销活动方案
- 会计的实习总结
- 2026 学龄前自闭症穿鞋袜训练课件
- 健康饮食养生秘诀
- 重庆西南大学附中高2026届高考全真模拟试题物理+答案
- 2026 学龄前自闭症感统训练课件
- (正式版)JBT 14449-2024 起重机械焊接工艺评定
- 北京玉渊潭中学英语新初一分班试卷含答案
- 员工入职通知书
- 浙江2023年三支一扶考试真题
- 《小数的初步认识》单元作业设计
- 正确的药物服用方法培训专家讲座
- (中职)移动电子商务营销第十一章 APP运营与推广教学课件()
- 项目部驻地建设方案74730
- GB 4806.8-2022食品安全国家标准食品接触用纸和纸板材料及制品
- GB/T 3299-2011日用陶瓷器吸水率测定方法
- GB 4806.1-2016食品安全国家标准食品接触材料及制品通用安全要求
评论
0/150
提交评论