🚀Рассказываем про новые диагностики

Java отдел снова с вами. Мы к этому долго шли, и вот наконец рады представить вам нашу первую taint диагностику. Если конкретнее – теперь мы умеем искать потенциальные SQL-инъекции. SQL-инъекция – уязвимость, позволяющая злоумышленнику внедрить свой код в SQL запрос. Если в запросе используются данные извне, то без их корректной проверки вы рискуете целостностью и конфиденциальностью информации, хранящейся в вашей БД.

`@Autowired private JdbcTemplate template;

@GetMapping("/get_all_secret_data") public void getEndpoint(@RequestParam String param) { var sql = "SELECT * FROM Users WHERE id = '" + param + "'"; template.execute(sql); .... }

В случае, если пользователь окажется злоумышленником и значение 'param' будет примерно следующим - "111' or 1=1; drop table users; select '" - с таблицей 'users' можно будет попрощаться. Поэтому, очень важно проверять данные, приходящие от пользователей. И наша новая диагностика умеет находить в коде места, куда приходит запрос с непроверенными данными извне. Попробовать её вы можете уже с декабря, начиная с релиза 7.34.

#PVS_Studio`
🚀Рассказываем про новые диагностики
Java отдел снова с вами. Мы к этому долго шли, и вот наконец рады представить вам нашу первую taint диагностику | Сетка — новая социальная сеть от hh.ru
repost

19

input message

напишите коммент

еще контент в этом сообществе

еще контент в этом соообществе

войдите, чтобы увидеть

и подписаться на интересных профи

в приложении больше возможностей

пока в веб-версии есть не всё — мы вовсю работаем над ней

сетка — cоциальная сеть для нетворкинга от hh.ru

пересекайтесь с теми, кто повлияет на ваш профессиональный путь