Spring security Spring security中的HTTP基本身份验证是否可以防止SQL注入

我在SpringMVC项目中使用HTTP基本身份验证。Spring的身份验证是否受到SQL注入的保护

---

有专家能就此发表声明吗？或者提供语句的链接。

您如何检查用户凭据

---

如果您使用

userdetails服务

根据数据库检查用户凭据，那么您就有责任保护自己不被注入，因为您正在构建查询。

与Simeon达成一致，它与您应用于标准框架的任何底层定制一样安全

JdbcDaoImpl

的标准框架实现对所有JDBC访问使用

PreparedStatement

s，即使您修改查询，也应该能够防止SQL注入攻击。但是，如果您扩展它或编写自己的实现，那么所有的赌注都没有了

从体系结构的角度来看，您的问题并不完全准确——传递身份验证凭据的方法（在您的例子中是基本的）不会直接影响实际到达数据库的内容。凭证的接收和验证之间有一个很好的抽象层。我建议查阅Spring安全文档以了解为什么会这样