Warning: file_put_contents(aCache/aDaily/post/pvsstudio_rus/--): Failed to open stream: No space left on device in /var/www/tgoop/post.php on line 50
PVS-Studio@pvsstudio_rus P.1825
PVSSTUDIO_RUS Telegram 1825
tgoop.com » United States » PVS-Studio » Telegram web » Post 1825
PVS-Studio
🚀Рассказываем про новые диагностики

Java отдел снова с вами. Мы к этому долго шли, и вот наконец рады представить вам нашу первую taint диагностику. Если конкретнее – теперь мы умеем искать потенциальные SQL-инъекции.
SQL-инъекция – уязвимость, позволяющая злоумышленнику внедрить свой код в SQL запрос. Если в запросе используются данные извне, то без их корректной проверки вы рискуете целостностью и конфиденциальностью информации, хранящейся в вашей БД.

@Autowired
private JdbcTemplate template;

@GetMapping("/get_all_secret_data")
public void getEndpoint(@RequestParam String param) {
    var sql = "SELECT * FROM Users WHERE id = '" + param + "'";
    template.execute(sql);
    ....
}


В случае, если пользователь окажется злоумышленником и значение 'param' будет примерно следующим - "111' or 1=1; drop table users; select '" - с таблицей 'users' можно будет попрощаться. Поэтому, очень важно проверять данные, приходящие от пользователей.
И наша новая диагностика умеет находить в коде места, куда приходит запрос с непроверенными данными извне. Попробовать её вы можете уже с декабря, начиная с релиза 7.34.

#PVS_Studio #java
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3
www.tgoop.com/pvsstudio_rus/1825
651 viewsedited  



tgoop.com/pvsstudio_rus/1825
Create:
Last Update:

🚀Рассказываем про новые диагностики

Java отдел снова с вами. Мы к этому долго шли, и вот наконец рады представить вам нашу первую taint диагностику. Если конкретнее – теперь мы умеем искать потенциальные SQL-инъекции.
SQL-инъекция – уязвимость, позволяющая злоумышленнику внедрить свой код в SQL запрос. Если в запросе используются данные извне, то без их корректной проверки вы рискуете целостностью и конфиденциальностью информации, хранящейся в вашей БД.

@Autowired
private JdbcTemplate template;

@GetMapping("/get_all_secret_data")
public void getEndpoint(@RequestParam String param) {
    var sql = "SELECT * FROM Users WHERE id = '" + param + "'";
    template.execute(sql);
    ....
}


В случае, если пользователь окажется злоумышленником и значение 'param' будет примерно следующим - "111' or 1=1; drop table users; select '" - с таблицей 'users' можно будет попрощаться. Поэтому, очень важно проверять данные, приходящие от пользователей.
И наша новая диагностика умеет находить в коде места, куда приходит запрос с непроверенными данными извне. Попробовать её вы можете уже с декабря, начиная с релиза 7.34.

#PVS_Studio #java

BY PVS-Studio




Share with your friend now:
tgoop.com/pvsstudio_rus/1825

View MORE
Open in Telegram


Telegram News

Date: |

It’s yet another bloodbath on Satoshi Street. As of press time, Bitcoin (BTC) and the broader cryptocurrency market have corrected another 10 percent amid a massive sell-off. Ethereum (EHT) is down a staggering 15 percent moving close to $1,000, down more than 42 percent on the weekly chart. In 2018, Telegram’s audience reached 200 million people, with 500,000 new users joining the messenger every day. It was launched for iOS on 14 August 2013 and Android on 20 October 2013. How to Create a Private or Public Channel on Telegram? SUCK Channel Telegram Hui said the time period and nature of some offences “overlapped” and thus their prison terms could be served concurrently. The judge ordered Ng to be jailed for a total of six years and six months.
from us



Warning: filemtime(): stat failed for aCache/aDaily/post/pvsstudio_rus/-- in /var/www/tgoop/post.php on line 323

Warning: filemtime(): stat failed for aCache/aDaily/post/pvsstudio_rus/-- in /var/www/tgoop/post.php on line 324

🚀Рассказываем про новые диагностики

 PVS-Studio TG
web: 1825
PVS-Studio.Telegram web
PVS-Studio Telegram TG Channel
Telegram Updated:
Telegram PVS-Studio
FROM American