Re: Patch applied for SQL Injection vulnerability for setObject(int,Object,int)
В списке pgsql-jdbc по дате отправления:
| От | Fernando Nasser |
|---|---|
| Тема | Re: Patch applied for SQL Injection vulnerability for setObject(int,Object,int) |
| Дата | |
| Msg-id | 3F1E84DD.5000008@redhat.com обсуждение исходный текст |
| Ответ на | Re: Prepared Statements (wsheldah@lexmark.com) |
| Ответы |
Re: Patch applied for SQL Injection vulnerability for setObject(int,Object,int)
|
| Список | pgsql-jdbc |
Barry Lind wrote:
> Oliver,
>
> Yes that will no longer work. But syntactically it shouldn't anyway.
> You are passing a set of strings and saying the type is NUMERIC. What
> will still work is passing a set of numeric values:
>
> stmt.setObject(1, "(1, 2, 3)", Types.NUMERIC);
>
Can we pass a set of strings? Otherwise it is a half-way solution.
stmt.setObject(1, "('a1', 'b2', 'c3')", Types.VARCHAR);
Will it be the string '('a1', 'b2', 'c3')' or the list of strings 'a1'
'b2' and 'c3'?
--
Fernando Nasser
Red Hat Canada Ltd. E-Mail: fnasser@redhat.com
2323 Yonge Street, Suite #300
Toronto, Ontario M4P 2C9
В списке pgsql-jdbc по дате отправления:
Сайт использует файлы cookie для корректной работы и повышения удобства. Нажимая кнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь на их использование в соответствии с Политикой в отношении обработки cookie ООО «ППГ», в том числе на передачу данных из файлов cookie сторонним статистическим и рекламным службам. Вы можете управлять настройками cookie через параметры вашего браузера