Я хочу знать, как этот кусок кода («DROP TABLE customer;») можно добавить в мою инструкцию insert хакером
blockquote>Например:
name = "'); DROP TABLE customer; --"
даст это значение в insert :
INSERT INTO customer(name,address,email) VALUES(''); DROP TABLE customer; --"','"+addre+"','"+email+"');
Я специально хочу знать, как я могу предотвратить это
< / blockquote>Используйте подготовленные операторы и аргументы SQL (пример «украден» у Matt Fellows):
String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);"; PreparedStament ps = connection.prepareStatment(insert);
Также проанализируйте значения, которые у вас есть на таких переменных, и убедитесь, что они не содержат недопустимые символы (такие как «;» в имени).
Если все остальное перестало работать, можно удалить рабочий стол докера на окнах и Mac для остановки контейнера.
я уничтожил все настольные процессы докера прежде.. но я не знаю, необходимо ли это.