Maison > Article > base de données > Comment puis-je transmettre en toute sécurité des paramètres à une instruction préparée JDBC pour l'authentification de l'utilisateur ?
Comment puis-je transmettre en toute sécurité des paramètres à une instruction préparée JDBC pour l'authentification de l'utilisateur ?
- DDDoriginal
- 2024-11-27 13:14:18967parcourir
Passer des paramètres à un PreparedStatement JDBC
En tentant de valider les informations d'identification de l'utilisateur en récupérant des lignes spécifiques d'une base de données, vous avez rencontré un problème avec votre Code Java. Votre objectif est de sélectionner une ligne en fonction d'un paramètre passé au constructeur de la classe Validation. Cependant, votre approche actuelle échoue.
Le problème réside dans la façon dont vous définissez le paramètre userID dans la requête SQL. L'insertion directe de la valeur du paramètre dans la chaîne de requête rend l'instruction vulnérable aux attaques par injection SQL. De plus, cela peut entraîner un formatage incorrect.
Pour résoudre ce problème, vous devez utiliser la méthode setString() de la classe PreparedStatement. Cette technique garantit non seulement que l'instruction est formatée de manière appropriée, mais la protège également de l'injection SQL.
Le code correct devrait ressembler à ceci :
statement = con.prepareStatement("SELECT * from employee WHERE userID = ?");
statement.setString(1, userID);
En substance, vous devez paramétrer l'ID utilisateur valeur et définissez-la à l’aide de la méthode setString(). Cette pratique améliore la sécurité et la fiabilité des interactions de votre base de données.
Pour un guide complet sur l'utilisation efficace de PreparedStatements en Java, veuillez vous référer aux didacticiels Java.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!