首页 新闻 会员 周边 捐助

字符串拼接的update操作的sql安全吗?

0
[已解决问题] 解决于 2018-06-02 14:40
update t_activity 
inner join t_common_flag on t_common_flag.id = t_activity.common_flag_id 
where t_common_flag.del_flag = 1 where id in ("+map.get("ids")+") 

我从map里获取了一个ids的字符串,然后拼接到了sql里

这个sql安全吗?

renguanyu的主页 renguanyu | 小虾三级 | 园豆:841
提问于:2018-05-27 14:12
< >
分享
最佳答案
0

不安全,需要使用参数化的sql

奖励园豆:5
dudu | 高人七级 |园豆:29379 | 2018-05-27 14:20
其他回答(5)
0

别直接拼进去,验证下内容或者限制下长度,类型之类的

饥饿前行者 | 园豆:272 (菜鸟二级) | 2018-05-27 17:33
0

参数需要验证,比如给你传过去'',--之类的,还有尽量参数化

乐途 | 园豆:206 (菜鸟二级) | 2018-05-27 20:34
0

你从外面传入int.在数据访问层转成字符串就没问题了.

吴瑞祥 | 园豆:29449 (高人七级) | 2018-05-28 09:30
0

不安全

1、参数的特殊字符验证;

2、使用参数化增删改;

雨之秋水 | 园豆:649 (小虾三级) | 2018-05-29 10:36
0

不安全,建议参数化,而且拼接sql也容易出错

渴望成为大神的菜鸟 | 园豆:213 (菜鸟二级) | 2018-07-06 11:50
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册