Volendo fare un'interrogazione SQL qualsiasi, tipo la seguente (in cui utilizzo Hibernate, ma è indifferente la cosa):
Esiste un qualcosa Java (o Hibernate) built-in che faccia l'escape della query (per il db in uso), al fine di evitare errori o tentativi di SQL injections? (Ciò che avviene se è l'utente a valorizzare MIA_VAR)codice:... List<Utente> result = null; try { tx = session.beginTransaction(); result = session.createQuery("FROM Utente WHERE nome='"+MIA_VAR+"'").list(); tx.commit(); } catch (HibernateException he) { ... } for(Utente u:result) System.out.println(u.getNome()+" "+u.getPassword()); ...
Ad esempio, per PHP c'è la funzione mysql_real_escape_string().
Rispondi quotando