devo aggiungere una dichiarazione per il mio programma Java per aggiornare una tabella di database:Prevenire attacchi SQL Injection in un programma Java
String insert =
"INSERT INTO customer(name,address,email) VALUES('" + name + "','" + addre + "','" + email + "');";
ho sentito che questo può essere sfruttato attraverso un'iniezione SQL come:
DROP TABLE customer;
Il mio programma ha un'interfaccia grafica Java e tutti i nome, valori di indirizzo ed e-mail vengono recuperati da Jtextfields
. Voglio sapere come il seguente codice (DROP TABLE customer;
) potrebbe essere aggiunto alla mia dichiarazione di inserimento da parte di un hacker e come posso impedirlo.
obbligatorio [XKCD cartone animato] (http://xkcd.com/327/) – DNA
possibile duplicato del [Java - stringa di escape per prevenire l'SQL injection] (http://stackoverflow.com/questions/1812891/java-escape-string-to-prevent-sql-injection) – Nate