Oracle JDBC - chyba ORA-00911: invalid character

Jiří Chaloupka konf na chalu.cz
Neděle Leden 20 12:18:24 CET 2013


Dobré nedělní odpoledne
nechci moc bořit iluze, jen v tom případě předpokládám, máte na úrovni JAAS
ošetřeno, že danou metodu může zavolat jen ta konkrétní aplikace ...

Jirka Chaloupka

Dne 20. ledna 2013 12:15 Dušan Rychnovský <geraltzrivie na gmail.com>napsal(a):

> Dobry den,
>
> dekuji za upozorneni na SQL injection. V tomto pripade se jedna o interni
> query, kdy uzivatel nema moznost parametr mid primo ovlivnit. Proto jsem
> pro jednoduchost zvolil prostou konkatenaci stringu.
>
> Dusan
>
> Dne 19. ledna 2013 23:01 Jiří Chaloupka <konf na chalu.cz> napsal(a):
>
> Ahoj,
>> pravda, v uvedeném případě asi na nic, používám ho spíše ze zvyku všude
>> tam, kde je předpoklad dalšího skládání stringů - tam se využije, zde se
>> stringy neskládají.
>>
>> Jirka
>>
>> 2013/1/16 msk.conf <msk.conf na gmail.com>
>>
>> Mozem sa opatrne opytat, k comu je ten StringBuffer?
>>>
>>> Dusan
>>>
>>>
>>>  StringBuffer queryS = new StringBuffer();
>>>> queryS.append("select a from pfa_audit a where a.mid = :value ");
>>>> Query query = entityManager.createQuery(queryS.toString());
>>>> query.setParameter("value", valueint);
>>>> return query.getResultList();
>>>>
>>>
>>>
>>
>
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://amaio.cz/pipermail/konference/attachments/20130120/3426192b/attachment.html>


Další informace o konferenci Konference