Findbugs, не находящий потенциальную уязвимость Внедрения SQL
По умолчанию, часть внешнего интерфейса odoo в значительной степени основана на backbone, jquery, underscore. Если вы хотите использовать любую другую библиотеку JS, вы должны убедиться в совместимости между ними. Внутренние части odoo функций JS написаны в модуле web и находятся в каталоге odoo/addons/web/static/src/js в кодах сообщества odoo. Часть электронной коммерции / веб-сайта находится под website* модулями.
3 ответа
Трудно различать безопасный код и небезопасный код здесь. Несомненно, userInputfilterString может быть небезопасным, но невозможно определить это во время компиляции. Однако символ одинарной кавычки в конкатенации строк является контрольным знаком использования вводимого кода. Вот почему FindBugs включает строку, содержащую этот символ, но не на строке с простой конкатенацией строк.
В основном это не ошибка, а ограничение того, сколько может быть сделано программным обеспечением для проверки на Внедрение SQL. Так как строка может содержать что-либо (т.е. она могла иметь уязвимую конкатенацию в другой функции), невозможно иметь инструмент, решают с любой уверенностью, что проблема существует.
Рассмотрите возможность обновления до коммерческого программного обеспечения, такого как http://www.ouncelabs.com/ , которое послужит вашей цели намного лучше ...
Я не думаю, PMD или Checkstyle поймают его также, но Вы могли бы дать им попытку (я использую все 3 регулярно, хорошие инструменты для использования).
Править: PMD был корректной ссылкой, но я назвал это findbugs... findbugs на мозге, который я предполагаю...