SQL -инъекция с SEMGREP/SPOTBUGSJAVA

Программисты JAVA общаются здесь
Anonymous
SQL -инъекция с SEMGREP/SPOTBUGS

Сообщение Anonymous »

Для проверки SAST в нашем трубопроводе CI мы используем сканеры Semgrep и Spotbugs. Этот сканер находит следующую ситуацию в качестве экземпляра инъекции SQL. < /P>
класс репозитория < /p>
Query q = em.createNativeQuery(FIND_PRODUCTS_BY_IDENTIFER);
q.setParameter("productidentifier", productIdentifierParam);
< /code>
find_products_by_identifer находится в отдельном классе и определяется как постоянная < /p>
public static final String find_products_by_identifer = "Select ProductId из продукта, где ID в (: ProductIdation)"; < /p>


Подробнее здесь: https://stackoverflow.com/questions/734 ... p-spotbugs

Вернуться в «JAVA»