使用Spring JDBCTemplate时需要注意的有关问题
日期:2014-05-16 浏览次数:20389 次
使用Spring JDBCTemplate时需要注意的问题
使用jdbc template进行数据库操作时,要注意不要之间传入组装式的SQL语句,如
在使用其它jdbctemplate基于preparedstatement的方法时就不用担心这个问题了,使用preparedstatement时如果没有指定出入参数的类型,jdbctemplate会根据出入的参数,获取其类型,然后调用preparedstatement的
使用jdbc template进行数据库操作时,要注意不要之间传入组装式的SQL语句,如
sql=select * from +tablename+where +condition,这样jdbctemplate将不会进行任何处理直接执行输入的sql语句,这也是sql注入的一个最主要的入口,要小心了~
在使用其它jdbctemplate基于preparedstatement的方法时就不用担心这个问题了,使用preparedstatement时如果没有指定出入参数的类型,jdbctemplate会根据出入的参数,获取其类型,然后调用preparedstatement的
setObject(int parameterIndex,Object x,int targetSqlType)以及setObject(int parameterIndex, Object x)按照指定的类型进行设置,所以不必担心传入的参数类型没有被正确的转化
1 楼
jy02411368
2008-10-15
我是把传入的参数全放在一个POJO对象里 在写语句里直接Object.getxxx()
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
