问题描述
我遇到了一个问题,该问题会导致将sql注入sql Server,但是有一条评论写到,如果使用准备好的语句的setString()函数时,如果sql Server的JDBC驱动程序的长度大于254,则会截断该字符串,因为它会进行转换字符串到sql_Char。这似乎是一个真正有问题的问题,但我不确定是否确实存在。
有人知道有哪个官方文档指出过此问题,以及从哪个版本开始修复该问题?
更新
他正在使用这种古老而危险的方式进行插入
String sql = "INSERT INTO TABLE(field1,field2) VALUES('" + val1 + "','" + val2 +"')";
val1和val2表示一个长字符串,其长度大于254。但是我不想问这个sqli。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)