我遇到了一个问题,它会导致sql注入到sql server,但是在那里写的一条评论说,sql server的jdbc驱动程序会在使用prepared语句的setstring()函数时截断字符串,因为它会将字符串转换为sql\ u char。这似乎是一个真正的问题,但我不确定它是否存在。
是否有人知道任何官方文件,说明了这个问题,他们什么时候已经修复,因为哪个版本?
更新
他用这种古老而危险的方法来做
String sql = "INSERT INTO TABLE(field1, field2) VALUES('" + val1 + "','" + val2 +"')";
val1和val2将表示长度大于254的长字符串。但这不是我想问的。
暂无答案!
目前还没有任何答案,快来回答吧!