Path: csiph.com!eternal-september.org!feeder.eternal-september.org!aioe.org!.POSTED!not-for-mail From: "Dr.UgoGagliardelli" Newsgroups: it.comp.java Subject: Re: hsql Date: Tue, 20 Oct 2015 09:28:18 +0200 Organization: Aioe.org NNTP Server Lines: 21 Message-ID: References: <76878754-a9fe-4237-96a7-ec8309bff30f@googlegroups.com> NNTP-Posting-Host: +3z0s+YzjUgNSOnfi6TODw.user.speranza.aioe.org Mime-Version: 1.0 Content-Type: text/plain; charset=windows-1252; format=flowed Content-Transfer-Encoding: 8bit X-Complaints-To: abuse@aioe.org User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:38.0) Gecko/20100101 Thunderbird/38.3.0 X-Notice: Filtered by postfilter v. 0.8.2 Xref: csiph.com it.comp.java:8689 Il 18.10.2015 14.15, Gulp® ha scritto: > Il 17/10/15 17:14, 4ndre4 ha scritto: > >> Le query SQL *NON* si scrivono concatenando i valori dei campi. E` il >> modo migliore per cadere vittime di SQL Injection. Impara ad usare i >> parametri. >> > > Perchè pensi che tutti i programmi debbano funzionare online? > Le SQL Injection non sono limitate ai casi online, potrebbero essere anche introdotte da involontari errori di programmazione o valori ambigui delle variabili che concateni. Utilizzando i parametri in PreparedStatement li eviti a priori ed eviti anche Uty.Aposdouble che fa' sorridere. Inoltre conferisce una certa eleganza al codice. In definitiva, stai imparando: quindi utilizza i buoni consigli e ne apprezzerai i vantaggi. Capisco che non sia facile discernere i consigli buoni da quelli no, data la pochezza di certi interlocutori che si affacciano inopinatamente al n.g., ma questo e' il prezzo del fai-da-te. :-)