A navic prepared statementy jsou na rade DB strojich i rychlejsi.
2013/1/20 Jiří Chaloupka k...@chalu.cz:
Pak se JAAS zatěžovat nemusíte, ale stále platí to co psal kolega před
chvílí přede mnou, lépe když to Vám přejde do krve ...
Jirka
Dne 20. ledna 2013 13:16 Dušan Rychnovský
Dobry den,
dekuji za upozorneni na SQL injection. V tomto pripade se jedna o interni
query, kdy uzivatel nema moznost parametr mid primo ovlivnit. Proto jsem
pro jednoduchost zvolil prostou konkatenaci stringu.
Dusan
Dne 19. ledna 2013 23:01 Jiří Chaloupka k...@chalu.cz napsal(a):
Ahoj,
Dobré nedělní odpoledne
nechci moc bořit iluze, jen v tom případě předpokládám, máte na úrovni JAAS
ošetřeno, že danou metodu může zavolat jen ta konkrétní aplikace ...
Jirka Chaloupka
Dne 20. ledna 2013 12:15 Dušan Rychnovský geraltzri...@gmail.comnapsal(a):
Dobry den,
dekuji za upozorneni
Tomu moc nerozumim (JAAS neznam), ale aby nekdo mohl danou metodu zavolat,
musi nejprve instanciovat danou tridu a tedy predat ji connection do
databaze. Aby ale mohl ziskat connection, musi znat pristupove udaje. A
pokud zna pristupove udaje do DB, muze si nad ni spustit vlastni query.
Nebo je v
A nemáte tu metodu ve třídě objektu, který je vystavený v JNDI třeba s
remote interface, nebo nepoužívá / nedění tu metodu jiná třída vybavená
remote interface a publikovaná v JNDI? Pak by si ten objekt s metodou mohl
vzít a zavolat člověk třeba z jiného aplikačního serveru. Samozřejmě za
dekuji za upozorneni na SQL injection. V tomto pripade se jedna o interni
query, kdy uzivatel nema moznost parametr mid primo ovlivnit. Proto jsem
pro jednoduchost zvolil prostou konkatenaci stringu.
Pokud jde o jednoduchost, tak naprosto nejjednodušší přístup je
*vždycky* používat
parametry
Ten objekt pro vzdaleny pristup nikde vystaveny neni, aplikace je
standalone (nebezi v aplikacnim serveru).
Dusan
Dne 20. ledna 2013 13:09 Ladislav Thon ladi...@gmail.com napsal(a):
dekuji za upozorneni na SQL injection. V tomto pripade se jedna o interni
query, kdy uzivatel nema moznost
Pak se JAAS zatěžovat nemusíte, ale stále platí to co psal kolega před
chvílí přede mnou, lépe když to Vám přejde do krve ...
Jirka
Dne 20. ledna 2013 13:16 Dušan Rychnovský geraltzri...@gmail.comnapsal(a):
Ten objekt pro vzdaleny pristup nikde vystaveny neni, aplikace je
standalone (nebezi v
Ahoj,
pravda, v uvedeném případě asi na nic, používám ho spíše ze zvyku všude
tam, kde je předpoklad dalšího skládání stringů - tam se využije, zde se
stringy neskládají.
Jirka
2013/1/16 msk.conf msk.c...@gmail.com
Mozem sa opatrne opytat, k comu je ten StringBuffer?
Dusan
StringBuffer
Vadí ten středník
Michal
Dne 16.1.2013 11:15, Dušan Rychnovský napsal(a):
Dobrý den,
posílám do Oracle DB pres JDBC driver tuto query:
SELECT status FROM pfa_audit WHERE mid = '865091';
tímto kódem:
Statement statement = connection.createStatement();
return statement.executeQuery(query);
Děkuji za pomoc, odstranění středníku na konci query problém vyřešilo.
P.S.: Ačkoliv to není z mého dotazu zřejmé, mid je v databázi
reprezentovaný jako NVARCHAR, proto ty apostrofy kolem hodnoty.
Dušan
2013/1/16 msk.conf msk.c...@gmail.com
Mozem sa opatrne opytat, k comu je ten StringBuffer?
Ø P.S.: Ačkoliv to není z mého dotazu zřejmé, mid je v databázi reprezentovaný
jako NVARCHAR, proto ty apostrofy kolem hodnoty.
V kódu byste se o apostrofy neměl starat vůbec.
Nenapsal jste, jakého typu a jakým způsobem plníte query. Je zapotřebí vždy s
dotazem posílat celou relevantní část
12 matches
Mail list logo
